543/68 (IT) ประจำวันพุธที่ 24 ธันวาคม 2568
นักวิจัยด้านความปลอดภัยไซเบอร์ได้เปิดเผยการค้นพบภัยคุกคามใหม่ในรูปแบบ Supply Chain Attack ที่พุ่งเป้าไปยังนักพัฒนาซอฟต์แวร์โดยเฉพาะ โดยพบแพ็กเกจอันตรายชื่อ “lotusbail” บน npm repository ซึ่งมียอดดาวน์โหลดไปแล้วกว่า 56,000 ครั้งตั้งแต่เดือนพฤษภาคม 2025 แพ็กเกจดังกล่าวทำหน้าที่เป็น WhatsApp API ที่ใช้งานได้จริง แต่เบื้องหลังได้ซ่อนการทำงานของ WebSocket wrapper ที่เป็นอันตราย เพื่อดักจับข้อความแชท, รายชื่อผู้ติดต่อ และไฟล์มีเดีย ส่งไปยังเซิร์ฟเวอร์ของผู้โจมตี ที่น่ากังวลคือมัลแวร์ตัวนี้สามารถฝัง Backdoor โดยการแอบเชื่อมต่ออุปกรณ์ของแฮกเกอร์เข้ากับบัญชี WhatsApp ของเหยื่อผ่านฟีเจอร์ Device Linking ทำให้ผู้โจมตียังคงเข้าถึงบัญชีได้ตลอดเวลาแม้ว่านักพัฒนาจะลบแพ็กเกจออกจากระบบไปแล้วก็ตาม
ในขณะเดียวกัน ทางฝั่งระบบนิเวศของ .NET ก็พบการโจมตีในลักษณะคล้ายกัน โดยมีการตรวจพบแพ็กเกจ NuGet อันตรายจำนวน 14 รายการ ที่ปลอมแปลงชื่อให้คล้ายกับไลบรารี Nethereum หรือไลบรารีที่เกี่ยวกับ Cryptocurrency และ Google Ads เป้าหมายคือการขโมย Private Keys และดักจับธุรกรรมคริปโตที่มีมูลค่าเกิน 100 ดอลลาร์สหรัฐฯ เพื่อโอนเข้ากระเป๋าเงินของคนร้าย นอกจากนี้ จากหลักฐานภาพประกอบในส่วนของแพ็กเกจ GoogleAds.API พบว่ามีการเขียนโค้ดเพื่อดึงค่าความลับสำคัญอย่าง DeveloperToken, OAuth2ClientId และ OAuth2ClientSecret แล้วส่งข้อมูลออกไปภายนอก (Exfiltration) ซึ่งจะทำให้แฮกเกอร์สามารถเข้ายึดบัญชีโฆษณา Google Ads และสร้างแคมเปญโฆษณาหลอกลวงหรือใช้จ่ายงบประมาณของเหยื่อได้อย่างไร้ขีดจำกัด
ภัยคุกคามทั้งสองกรณีนี้สะท้อนให้เห็นถึงวิวัฒนาการของการโจมตีที่แนบเนียนยิ่งขึ้น โดยผู้โจมตีใช้วิธีการปั่นยอดดาวน์โหลดและอัปเดตเวอร์ชันบ่อยครั้งเพื่อสร้างความน่าเชื่อถือ อีกทั้งยังมีการฝังโค้ด Anti-debugging เพื่อขัดขวางการตรวจสอบจากนักวิจัย ความอันตรายของเคสนี้อยู่ที่ช่องว่างของความเชื่อใจ เพราะเครื่องมือวิเคราะห์ความปลอดภัยแบบ Static Analysis ทั่วไปอาจมองไม่เห็นความผิดปกติ เนื่องจากโค้ดสามารถทำงานได้ตามวัตถุประสงค์จริง นักพัฒนาจึงควรเพิ่มความระมัดระวังเป็นพิเศษในการเลือกใช้ Third-party library และตรวจสอบสิทธิ์ (Permissions) ของอุปกรณ์ที่เชื่อมต่อกับบัญชีสำคัญอย่างสม่ำเสมอ หากคุณเป็นนักพัฒนาหรือผู้ดูแลระบบที่เคยใช้ไลบรารีที่เกี่ยวข้อง แนะนำให้ตรวจสอบ package.json หรือ packages.config เพื่อหาชื่อแพ็กเกจที่น่าสงสัย และเข้าไปตรวจสอบในหน้า Settings ของ WhatsApp หรือ Google Account เพื่อ Unlink อุปกรณ์หรือแอปพลิเคชันที่ไม่รู้จักออกทันที
แหล่งข่าว https://thehackernews.com/2025/12/fake-whatsapp-api-package-on-npm-steals.html
