นักวิจัยด้านความปลอดภัยจาก JFrog ได้ตรวจพบ แพ็กเกจอันตรายบน npm ที่ปลอมตัวเป็นตัวติดตั้งของ OpenClaw เพื่อแพร่กระจายมัลแวร์ประเภท Remote Access Trojan (RAT) และขโมยข้อมูลสำคัญ
รายละเอียดที่สำคัญของเหตุการณ์:
- ชื่อแพ็กเกจอันตราย: @openclaw-ai/openclawai ถูกอัปโหลดโดยผู้ใช้ชื่อ “openclaw-ai” เมื่อวันที่ 3 มีนาคม 2026
- เป้าหมายหลัก: เน้นโจมตีผู้ใช้งาน macOS โดยเฉพาะกลุ่มนักพัฒนาซอฟต์แวร์
- เทคนิคการหลอกลวง: มัลแวร์จะแสดงหน้าจอ Command-line (CLI) ปลอมที่มีแถบดาวน์โหลดดูน่าเชื่อถือ และมีการสร้างหน้าต่างป๊อปอัพเลียนแบบ iCloud Keychain เพื่อหลอกให้เหยื่อกรอกรหัสผ่านเครื่อง (System Password)
ความสามารถของมัลแวร์ (GhostLoader):
- ขโมยข้อมูลส่วนตัว: ดูดข้อมูลจากพวงกุญแจรหัสผ่าน (Keychain), ประวัติการแชท iMessage, บันทึกใน Apple Notes และข้อมูลในเบราว์เซอร์ (Chrome, Edge, Brave ฯลฯ)
- เจาะกลุ่ม Crypto & Dev: ขโมยกระเป๋าเงินคริปโต (Wallets), SSH Keys และข้อมูลยืนยันตัวตนของบริการ Cloud อย่าง AWS, Azure และ Google Cloud
- การควบคุมระยะไกล (RAT): สามารถสั่งรันคำสั่ง Shell, เปิดลิงก์, ดาวน์โหลดไฟล์เพิ่มเติม หรือแม้แต่ “โคลนหน้าจอเบราว์เซอร์” (Browser Cloning) เพื่อเข้าใช้งานบัญชีที่ล็อกอินค้างไว้ได้โดยไม่ต้องใช้รหัสผ่าน
- เฝ้าติดตามคลิปบอร์ด: ตรวจสอบสิ่งที่เหยื่อก๊อปปี้ทุก ๆ 3 วินาที หากเป็นรหัสผ่านคริปโตหรือคีย์สำคัญ มัลแวร์จะส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ (C2) ทันที
คำแนะนำสำหรับนักพัฒนา:
- ตรวจสอบชื่อแพ็กเกจและผู้เผยแพร่ (Publisher) ให้ถี่ถ้วนก่อนทำการติดตั้ง
- ระมัดระวังหากมีการขอสิทธิ์ “Full Disk Access” หรือการขอรหัสผ่านระบบในขณะติดตั้ง Library ที่ไม่คุ้นเคย
- หากเคยติดตั้งแพ็กเกจดังกล่าวไปแล้ว ควรเปลี่ยนรหัสผ่านและตรวจสอบความปลอดภัยของเครื่องโดยด่วน
ปัจจุบันแพ็กเกจนี้ถูกตรวจพบและมีการแจ้งเตือนแล้ว แต่ผู้ใช้ควรระมัดระวังการโจมตีในลักษณะ Supply Chain Attack ที่แฝงมากับ Open Source ต่อไป
ที่มา: https://thehackernews.com/2026/03/malicious-npm-package-posing-as.html
ค้นหาเมื่อวันที่ 10 มีนาคม 2569