Axios ถูกเจาะบน NPM และมีการเผยแพร่โทรจันสำหรับเข้าถึงเครื่องจากระยะไกล

• ไคลเอนต์ HTTP axios ที่ใช้งานกันอย่างแพร่หลาย มีเวอร์ชันอันตราย 2 เวอร์ชันถูกเผยแพร่บน npm และเมื่อมีการติดตั้งจะปล่อย โทรจันสำหรับเข้าถึงเครื่องจากระยะไกล (RAT)
• ผู้โจมตีอัปโหลดแพ็กเกจอันตรายด้วยตนเองโดย ขโมยข้อมูลยืนยันตัวตนของบัญชีผู้ดูแลแพ็กเกจ เพื่อหลบเลี่ยง GitHub Actions
• เวอร์ชันอันตรายแทรก dependency ปลอม plain-crypto-js@4.2.1 ซึ่งติดตั้ง RAT ผ่านสคริปต์ postinstall และลบร่องรอยออก
• RAT สามารถติดเครื่องได้ทั้ง macOS, Windows, Linux และสื่อสารกับเซิร์ฟเวอร์ C2 (sfrclak.com:8000) เพื่อดาวน์โหลดเพย์โหลดเพิ่มเติม
• แม้ npm และ GitHub จะลบเวอร์ชันอันตรายออกอย่างรวดเร็ว แต่เหตุการณ์นี้ก็ย้ำให้เห็นอีกครั้งถึง ความสำคัญของการเสริมความปลอดภัยซัพพลายเชนและการปกป้องข้อมูลยืนยันตัวตน

ภาพรวมการโจมตีซัพพลายเชนของ axios บน npm

• เมื่อวันที่ 31 มีนาคม 2026 มีการเผยแพร่เวอร์ชันอันตราย 2 เวอร์ชันของ ไลบรารีไคลเอนต์ HTTP axios ที่ได้รับความนิยมสูงบน npm (axios@1.14.1, axios@0.30.4)
• ผู้โจมตีขโมย ข้อมูลยืนยันตัวตน npm ของผู้ดูแลหลักของ axios เพื่อข้าม GitHub Actions CI/CD pipeline และเผยแพร่แพ็กเกจอันตรายด้วยตนเอง
• ทั้งสองเวอร์ชันได้แทรก dependency ปลอมชื่อ plain-crypto-js@4.2.1 โดยแพ็กเกจนี้จะติดตั้ง โทรจันสำหรับเข้าถึงเครื่องจากระยะไกล (RAT) ผ่านสคริปต์ postinstall
• RAT มุ่งเป้าทั้ง macOS, Windows และ Linux และสื่อสารกับเซิร์ฟเวอร์ C2 (Command and Control) (sfrclak.com:8000) เพื่อดึงเพย์โหลดระยะที่สองลงมา
• หลังติดตั้งแล้ว มัลแวร์จะลบโค้ดอันตรายและร่องรอย พร้อมแทนที่ด้วย package.json ที่ดูสะอาด เพื่อ หลบเลี่ยงการตรวจจับทางนิติวิทยาศาสตร์ดิจิทัล

ไทม์ไลน์การโจมตี

• 30 มีนาคม 05:57 UTC: เผยแพร่ plain-crypto-js@4.2.0 (เวอร์ชันปกติ)
• 30 มีนาคม 23:59 UTC: เผยแพร่ plain-crypto-js@4.2.1 (เวอร์ชันอันตราย) พร้อมเพิ่ม hook postinstall
• 31 มีนาคม 00:21 UTC: เผยแพร่ axios@1.14.1 พร้อมแทรก dependency อันตราย
• 31 มีนาคม 01:00 UTC: เผยแพร่ axios@0.30.4 พร้อมแทรก dependency อันตรายเดียวกัน
• 31 มีนาคม 03:15 UTC: npm ลบสองเวอร์ชันอันตรายออก
• 31 มีนาคม 04:26 UTC: npm แทนที่ plain-crypto-js ด้วย security holder stub (0.0.1-security.0)

ภาพรวมของ axios

• axios คือ ไคลเอนต์ HTTP ที่ถูกใช้งานแพร่หลายที่สุดตัวหนึ่งใน ecosystem ของ JavaScript ใช้ได้ทั้งกับ Node.js และเบราว์เซอร์
• มียอดดาวน์โหลดต่อสัปดาห์มากกว่า 300 ล้านครั้ง ดังนั้นแม้จะมีการปล่อยเวอร์ชันอันตรายเพียงครั้งเดียวก็อาจ สร้างความเสียหายเป็นวงกว้าง
• นักพัฒนาทั่วไปยากจะสังเกตได้ว่ามีการติดตั้งโค้ดอันตรายระหว่าง npm install

ขั้นตอนการโจมตี

• ระยะที่ 1 — ยึดบัญชีผู้ดูแลแพ็กเกจ

  • ผู้โจมตียึด บัญชี npm jasonsaayman และเปลี่ยนอีเมลเป็น ifstap@proton.me
  • จากนั้นเผยแพร่บิลด์อันตรายไปยัง ทั้ง release branch สาย 1.x และ 0.x
  • รีลีสปกติจะเผยแพร่ผ่าน OIDC Trusted Publisher ของ GitHub Actions แต่ axios@1.14.1 ถูกเผยแพร่แบบ manual จึงไม่มี gitHead และไม่มีลายเซ็น OIDC
  • คาดว่าผู้โจมตีใช้ npm access token ที่มีอายุยาว

• ระยะที่ 2 — ปล่อย dependency อันตรายล่วงหน้า

  • plain-crypto-js@4.2.1 ถูกเผยแพร่จากบัญชี nrwise@proton.me
  • แพ็กเกจนี้ ปลอมตัวเป็น crypto-js โดยใช้คำอธิบายและ URL repository เดียวกัน
  • มี hook "postinstall": "node setup.js" เพื่อให้รันอัตโนมัติระหว่างติดตั้ง
  • หลังการโจมตี มีการแทนที่ package.md เป็น package.json เพื่อ เตรียมลบหลักฐาน

• ระยะที่ 3 — แทรก dependency ลงใน axios

  • เพิ่ม plain-crypto-js@^4.2.1 เป็น runtime dependency
  • แต่ในโค้ดไม่มีการ import เลยแม้แต่ครั้งเดียว → เป็น phantom dependency
  • เมื่อรัน npm install จะถูกติดตั้งอัตโนมัติและเรียกสคริปต์ postinstall

การวิเคราะห์ RAT dropper (setup.js)

• เทคนิคการทำ obfuscation

  • เก็บสตริงแบบเข้ารหัสไว้ในอาร์เรย์ stq[] และถอดรหัสด้วย _trans_1 (XOR) กับ _trans_2 (Base64+ย้อนลำดับ)
  • URL ของ C2 คือ http://sfrclak.com:8000/6202033
  • สตริงที่ถอดรหัสแล้วมีทั้งตัวระบุระบบปฏิบัติการ (win32, darwin), พาธไฟล์ และคำสั่งเชลล์

• เพย์โหลดตามแพลตฟอร์ม

  • macOS

    • เขียน AppleScript ลงใน /tmp แล้วรันผ่าน osascript
    • ดึงไบนารี RAT จาก C2 มาเก็บและรันที่ /Library/Caches/com.apple.act.mond
    • ชื่อไฟล์ถูก ปลอมให้ดูเหมือน Apple system daemon

  • Windows

    • ค้นหาเส้นทาง PowerShell แล้วคัดลอกไปที่ %PROGRAMDATA%\\wt.exe
    • ใช้ VBScript ดาวน์โหลดและรัน PowerShell RAT จาก C2
    • ไฟล์ชั่วคราว (.vbs, .ps1) จะถูกลบหลังรัน

  • Linux

    • ใช้ curl ดาวน์โหลด /tmp/ld.py แล้วรันด้วย nohup python3
    • ไฟล์ /tmp/ld.py จะยังคงอยู่
    • ทั้งสามแพลตฟอร์มใช้ POST body ไปยัง packages.npm.org/product0~2 เพื่อ ปลอมตัวให้ดูเหมือนทราฟฟิก npm ปกติ

• การลบตัวเองและการซ่อนร่องรอย

  • ลบ setup.js และ package.json
  • แทนที่ package.md กลับเป็น package.json เพื่อ ปลอมเป็นแพ็กเกจปกติ
  • หลังจากนั้นจะตรวจพบได้ยากผ่าน npm audit หรือการตรวจสอบด้วยมือ
  • อย่างไรก็ตาม การมีอยู่ของ node_modules/plain-crypto-js/ เองก็ถือเป็นหลักฐานการติดเชื้อ

การยืนยันการทำงานผ่าน StepSecurity Harden-Runner

• Harden-Runner บันทึก เหตุการณ์เครือข่าย โปรเซส และไฟล์แบบเรียลไทม์ บน GitHub Actions
• เมื่อติดตั้ง axios@1.14.1 พบการเชื่อมต่อ C2 สองครั้ง (curl, nohup)
  • การเชื่อมต่อครั้งแรกเกิดขึ้น 2 วินาทีหลังเริ่ม npm install
  • ครั้งที่สองเกิดขึ้นหลังจาก 36 วินาที และยังทำงานต่อเป็นโปรเซสเบื้องหลัง
• จากการวิเคราะห์ process tree พบว่าโปรเซส nohup กลายเป็น orphan process ใต้ PID 1(init) และยังคงทำงานต่อ
• ในบันทึกเหตุการณ์ไฟล์พบว่า package.json ถูกเขียนทับสองครั้ง
  • ครั้งแรก: เขียนเวอร์ชันอันตรายระหว่างติดตั้ง
  • ครั้งที่สอง: หลัง 36 วินาที ถูกแทนที่ด้วย stub ที่สะอาด

ตัวบ่งชี้การบุกรุก (IOC)

• แพ็กเกจ npm อันตราย

  • axios@1.14.1 · shasum: 2553649f232204966871cea80a5d0d6adc700ca
  • axios@0.30.4 · shasum: d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71
  • plain-crypto-js@4.2.1 · shasum: 07d889e2dadce6f3910dcbc253317d28ca61c766

• เครือข่าย

  • โดเมน C2: sfrclak.com
  • IP: 142.11.206.73
  • URL: http://sfrclak.com:8000/6202033

• พาธไฟล์

  • macOS: /Library/Caches/com.apple.act.mond
  • Windows: %PROGRAMDATA%\\wt.exe
  • Linux: /tmp/ld.py

• บัญชีผู้โจมตี

  • jasonsaayman (ผู้ดูแลที่ถูกยึดบัญชี)
  • nrwise (บัญชีที่ผู้โจมตีสร้าง)

• เวอร์ชันปลอดภัย

  • axios@1.14.0 (ปกติ)

ขั้นตอนการตรวจสอบผลกระทบและการตอบสนอง

• ตรวจสอบ 1.14.1 / 0.30.4 ด้วย npm list axios หรือใน package-lock.json
• ตรวจสอบว่ามี node_modules/plain-crypto-js อยู่หรือไม่
• หากพบไฟล์ RAT ตามแต่ละระบบปฏิบัติการ ให้ถือว่า ระบบถูกยึดเต็มรูปแบบ
• ตรวจสอบบันทึก CI/CD ว่าเคยติดตั้งเวอร์ชันดังกล่าวหรือไม่ และ ต้องเปลี่ยนความลับและโทเคนทั้งหมด

ขั้นตอนการกู้คืน

1. ล็อก axios ไว้ที่ เวอร์ชันปลอดภัย (1.14.0 หรือ 0.30.3)
2. ลบโฟลเดอร์ plain-crypto-js แล้วติดตั้งใหม่ด้วย npm install --ignore-scripts
3. หากพบร่องรอย RAT ให้สร้างระบบใหม่
4. หมุนเวียนข้อมูลยืนยันตัวตนทั้งหมด (AWS, SSH, CI/CD ฯลฯ)
5. ตรวจสอบ CI/CD pipeline และเปลี่ยน secret ทั้งหมด
6. ใช้ตัวเลือก --ignore-scripts สำหรับงาน build อัตโนมัติ
7. บล็อกโดเมน/IP ของ C2 ด้วยไฟร์วอลล์หรือ /etc/hosts

ความสามารถของ StepSecurity Enterprise

• Harden-Runner

  • ใช้ allowlist การเชื่อมต่อเครือข่ายขาออก บน GitHub Actions
  • บล็อกและบันทึกทราฟฟิกที่ผิดปกติ
  • สามารถ บล็อกการเชื่อมต่อ sfrclak.com:8000 ได้ล่วงหน้า

• Dev Machine Guard

  • เฝ้าติดตามแพ็กเกจ npm ที่ติดตั้งบนเครื่องนักพัฒนาแบบเรียลไทม์
  • ตรวจจับเครื่องที่ติดตั้ง axios@1.14.1, 0.30.4 ได้ทันที

• npm Package Cooldown Check

  • กำหนด ช่วงเวลาหน่วงก่อนอนุญาตให้ติดตั้ง สำหรับแพ็กเกจที่เพิ่งเผยแพร่
  • ช่วยตรวจจับการปล่อยแพ็กเกจอันตรายอย่างรวดเร็ว เช่น plain-crypto-js@4.2.1

• Compromised Updates Check

  • บล็อกการ merge PR โดยอิงฐานข้อมูลแพ็กเกจอันตรายแบบเรียลไทม์
  • ลงทะเบียน axios@1.14.1, plain-crypto-js@4.2.1 ได้ทันที

• Package Search

  • ค้นหาตำแหน่งที่มีการนำแพ็กเกจเฉพาะเข้าใช้ใน PR และ repository ทั่วทั้งองค์กร
  • ระบุขอบเขตผลกระทบ (repository, team, PR) ได้ทันที

• AI Package Analyst

  • เฝ้าระวัง npm registry แบบเรียลไทม์และใช้ การตรวจจับมัลแวร์ตามพฤติกรรม
  • ตรวจพบทั้งสองเวอร์ชันอันตรายภายในไม่กี่นาทีหลังเผยแพร่

• Threat Center Alert

  • ให้ การแจ้งเตือนข่าวกรองภัยคุกคาม ที่มีทั้งสรุปการโจมตี IOC และขั้นตอนตอบสนอง
  • เชื่อมต่อกับ SIEM เพื่อให้มองเห็นสถานะได้แบบเรียลไทม์

คำขอบคุณ

• ผู้ดูแล axios และชุมชนตอบสนองอย่างรวดเร็วผ่าน GitHub issue #10604
• GitHub ระงับบัญชีที่ถูกยึด ขณะที่ npm ลบเวอร์ชันอันตรายและใช้ security holder
• ความร่วมมือระหว่างผู้ดูแล GitHub และ npm ช่วยลดความเสียหายต่อผู้พัฒนาทั่วโลก