554/68 (IT) ประจำวันจันทร์ที่ 29 ธันวาคม 2568
นักวิจัยด้านความปลอดภัยตรวจพบแพ็กเกจ NPM อันตราย “Lotusbail” ซึ่งมียอดดาวน์โหลดกว่า 56,000 ครั้ง ปลอมตัวเป็นไลบรารี WhatsApp Web API ที่พัฒนาต่อจาก Baileys แม้จะรับส่งข้อความได้ตามปกติแต่แฝงความสามารถในการดักข้อมูลสำคัญของผู้ใช้ เช่น ข้อมูลยืนยันตัวตน รายชื่อผู้ติดต่อ รวมถึงติดตั้ง Backdoor เพื่อเข้าควบคุมบัญชี WhatsApp ได้อย่างสมบูรณ์
กลไกการโจมตีดำเนินการได้อย่างแนบเนียน โดย Lotusbail แทรกตัวเข้าไปควบคุมการทำงานของ WebSocket Client เดิม เพื่อดักข้อความและไฟล์มีเดีย จากนั้นส่งข้อมูลออกด้วยการเข้ารหัสแบบ RSA และฝังโค้ดสำหรับขั้นตอนการเชื่อมต่ออุปกรณ์ (Pairing) เพื่อแอบเชื่อมต่ออุปกรณ์ของผู้ไม่หวังดีเข้ากับบัญชีเหยื่อ ทำให้แม้จะลบแพ็กเกจออกไปแล้ว ผู้โจมตียังคงเข้าถึงบัญชีได้ต่อเนื่องจนกว่าเหยื่อจะยกเลิกการเชื่อมต่ออุปกรณ์ (Unlink) ด้วยตนเอง
มัลแวร์ดังกล่าวมีความซับซ้อนและตรวจจับได้ยาก เนื่องจากทำงานเสมือนเป็นไลบรารีปกติ และฝังกลไกป้องกันการวิเคราะห์ (Anti-debugging) ไว้ถึง 27 จุดเพื่อขัดขวางการตรวจสอบ ทำให้ระบบรักษาความปลอดภัยที่อาศัยการวิเคราะห์โค้ดแบบ Static Analysis หรือดูเพียงยอดดาวน์โหลดไม่สามารถตรวจจับความผิดปกติได้ ผู้เชี่ยวชาญชี้ว่ากรณีดังกล่าวสะท้อนภัยคุกคามแบบ Supply Chain ซึ่งจำเป็นต้องใช้การวิเคราะห์พฤติกรรม (Behavioral Analysis) ระหว่างที่แพ็กเกจถูกใช้งานจึงจะตรวจพบได้อย่างมีประสิทธิภาพ
