138/69 (IT) ประจำวันอังคารที่ 10 มีนาคม 2569
นักวิจัยความปลอดภัยจาก JFrog ตรวจพบแพ็กเกจ npm อันตรายชื่อ @openclaw-ai/openclawai ซึ่งถูกอัปโหลดเมื่อวันที่ 3 มีนาคม 2026 โดยปลอมเป็นตัวติดตั้งสำหรับโปรแกรม OpenClaw เพื่อแพร่มัลแวร์บน macOS ปัจจุบันมียอดดาวน์โหลดแล้วกว่า 180 ครั้ง และยังคงเปิดให้ดาวน์โหลดอยู่ จุดที่น่ากังวลคือการใช้เทคนิค Social Engineering อย่างแนบเนียน โดยแสดงหน้าจอคำสั่งปลอมที่ดูน่าเชื่อถือ พร้อมแถบความคืบหน้าแบบเคลื่อนไหว เพื่อหลอกให้ผู้ใช้กรอกรหัสผ่าน ผ่านหน้าต่าง iCloud Keychain ปลอม
มัลแวร์ที่ฝังอยู่ภายใน ซึ่งระบุชื่อตัวเองว่า GhostLoader จะเริ่มทำงานผ่านกลไก postinstall hook จากนั้นรันสคริปต์ระยะแรกและพยายามขอสิทธิ์ Full Disk Access ผ่านหน้าต่าง AppleScript เพื่อเข้าถึงข้อมูลที่ถูกป้องกันไว้ เพย์โหลดในระยะถัดมามีความสามารถครอบคลุมทั้งการขโมยฐานข้อมูล Apple Keychain ข้อมูลจากเว็บเบราว์เซอร์ เช่น คุกกี้ รหัสผ่าน ข้อมูลบัตรชำระเงิน กุญแจ SSH ข้อมูลรับรองสำหรับบริการคลาวด์ อาทิ AWS, Azure, GCP และ GitHub ตลอดจนประวัติการสนทนาใน iMessage
นอกจากนี้มัลแวร์ยังมีความสามารถแบบ Remote Access Trojan (RAT) ที่รองรับการควบคุมเครื่องจากระยะไกล การตั้งค่า SOCKS5 Proxy และฟังก์ชัน Browser Session Cloning ซึ่งช่วยให้ผู้โจมตีใช้เซสชันเบราว์เซอร์ที่ล็อกอินอยู่ได้ โดยไม่ต้องทราบรหัสผ่าน ขณะเดียวกันยังทำงานแบบฝังตัวต่อเนื่อง เพื่อตรวจสอบข้อมูลในคลิปบอร์ดทุก 3 วินาที และค้นหาข้อมูลสำคัญ เช่น private keys ข้อมูลกระเป๋าเงินคริปโท และ API keys กรณีดังกล่าวสะท้อนถึงความเสี่ยงจากแพ็กเกจ npm ปลอมที่ผสานการหลอกลวง การขโมยข้อมูล และการควบคุมระบบจากระยะไกลไว้ในแพ็กเกจเดียว ผู้ใช้งานควรตรวจสอบที่มาของแพ็กเกจอย่างละเอียดก่อนให้สิทธิ์ หรือกรอกรหัสผ่านเข้าสู่ระบบ
แหล่งข่าว https://thehackernews.com/2026/03/malicious-npm-package-posing-as.htm