មេរោគ PhantomRaven

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធីសកម្មខ្លាំងដែលផ្តោតលើប្រព័ន្ធអេកូ npm ។ កញ្ចប់ព្យាបាទជាង 100 ត្រូវបានកំណត់អត្តសញ្ញាណ ដែលមានសមត្ថភាពលួចព័ត៌មានអ្នកអភិវឌ្ឍន៍ដែលងាយយល់ រួមទាំងសញ្ញាសម្គាល់ការផ្ទៀងផ្ទាត់ សម្ងាត់ CI/CD និងលិខិតសម្គាល់ GitHub ដោយផ្ទាល់ពីម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។

យុទ្ធនាការដែលមានឈ្មោះកូដ PhantomRaven បានបង្ហាញខ្លួនជាលើកដំបូងនៅក្នុងខែសីហា ឆ្នាំ 2025។ ចាប់តាំងពីពេលនោះមក វាបានពង្រីកដល់ 126 npm បណ្ណាល័យ និងប្រមូលបានជាង 86,000 ការដំឡើង ដែលបង្ហាញពីការរីករាលដាលយ៉ាងឆាប់រហ័ស និងការទទួលយកកញ្ចប់ព្យាបាទទាំងនេះ។

កញ្ចប់ព្យាបាទហោះហើរនៅក្រោមរ៉ាដា

កញ្ចប់ដែលបានដាក់ទង់មួយចំនួនរួមមាន:

• op-cli-installer - 486 ការទាញយក
• ការនាំចូលដែលមិនប្រើ - 1,350 ទាញយក
• badgekit-api-client - 483 ទាញយក
• polyfill-corejs3 – 475 ការទាញយក
• eslint-comments – 936 ទាញយក

អ្វីដែលធ្វើឱ្យ PhantomRaven កាន់តែអាក្រក់នោះគឺការប្រើប្រាស់របស់វាពីចម្ងាយថាមវន្តអាស្រ័យ (RDDs) ។ ជំនួសឱ្យការទៅយកលេខកូដពីបញ្ជីឈ្មោះ npm ផ្លូវការ កញ្ចប់ព្យាបាទចង្អុលទៅ HTTP URL ផ្ទាល់ខ្លួន (packages.storeartifact.com) ។ នេះអនុញ្ញាតឱ្យ npm ទាញយកភាពអាស្រ័យពីប្រភពខាងក្រៅដែលមិនគួរឱ្យទុកចិត្ត ដោយឆ្លងកាត់ការការពារ npmjs.com យ៉ាងមានប្រសិទ្ធភាព។

ម៉ាស៊ីនស្កេនសុវត្ថិភាពប្រពៃណី និងឧបករណ៍វិភាគភាពអាស្រ័យបរាជ័យក្នុងការរកឃើញ RDDs ទាំងនេះ ដោយសារប្រព័ន្ធស្វ័យប្រវត្តិមើលឃើញកញ្ចប់ថាមាន '0 Dependencies'។

របៀបដែលការវាយប្រហារដំណើរការ

ខ្សែសង្វាក់វាយប្រហារចាប់ផ្តើមភ្លាមៗនៅពេលដែលអ្នកអភិវឌ្ឍន៍ដំឡើងកញ្ចប់មួយដែលហាក់ដូចជាស្រាល។ ធាតុសំខាន់ៗរួមមានៈ

Pre-install Hook Execution : កញ្ចប់មាន script lifecycle ដំឡើងមុន ដែលដំណើរការ main payload ដោយស្វ័យប្រវត្តិ។

ការទាញយកបន្ទុកពីចម្ងាយ ៖ ស្គ្រីបទាញយកភាពអាស្រ័យព្យាបាទពីម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។

Data Exfiltration ៖ នៅពេលដែលត្រូវបានប្រតិបត្តិ មេរោគនឹងស្កេនបរិស្ថានរបស់អ្នកអភិវឌ្ឍន៍សម្រាប់អាសយដ្ឋានអ៊ីមែល ប្រមូលផ្តុំព័ត៌មានលម្អិតអំពីបរិស្ថាន CI/CD ស្នាមម្រាមដៃប្រព័ន្ធ (រួមទាំង IP សាធារណៈ) និងបញ្ជូនទិន្នន័យទៅកាន់ម៉ាស៊ីនមេពីចម្ងាយ។

អ្នកវាយប្រហារអាចកែប្រែ payload តាមឆន្ទៈ ដោយដំបូងឡើយបម្រើកូដដែលគ្មានគ្រោះថ្នាក់ ដើម្បីគេចពីការរកឃើញ មុនពេលជំរុញការអាប់ដេតដែលមានគំនិតអាក្រក់ នៅពេលដែលកញ្ចប់ទទួលបានការអនុម័ត។

ការទាញយកចំណុចខ្វាក់របស់មនុស្ស និង AI

ជម្រើសនៃឈ្មោះកញ្ចប់គឺដោយចេតនា។ តួអង្គគំរាមកំហែងប្រើយុទ្ធសាស្ត្រដែលគេស្គាល់ថាជា slopsquatting ដែលគំរូភាសាធំ (LLMs) ធ្វើឱ្យមានការភ្ញាក់ផ្អើលចំពោះឈ្មោះកញ្ចប់ដែលមិនមាន ប៉ុន្តែអាចទុកចិត្តបាន។ អ្នកអភិវឌ្ឍន៍អាចជឿជាក់លើកញ្ចប់ទាំងនេះ ដោយសារការដាក់ឈ្មោះជាក់ស្តែងរបស់ពួកគេ ដោយមិនដឹងពីការគំរាមកំហែងដែលលាក់កំបាំង។

ដូចដែលអ្នកស្រាវជ្រាវបានកត់សម្គាល់ PhantomRaven បង្ហាញពីភាពទំនើបនៃអ្នកវាយប្រហារ៖

• ភាពអាស្រ័យថាមវន្តពីចម្ងាយគេចចេញពីការវិភាគឋិតិវន្ត។
• ឈ្មោះកញ្ចប់ដែលបង្កើតដោយ AI ទាញយកការជឿទុកចិត្តរបស់អ្នកអភិវឌ្ឍន៍។
• ស្គ្រីប Lifecycle ដំណើរការដោយស្វ័យប្រវត្តិដោយគ្មានអន្តរកម្មអ្នកប្រើប្រាស់។

យុទ្ធនាការនេះគូសបញ្ជាក់ពីរបៀបដែលតួអង្គព្យាបាទកំពុងស្វែងរកវិធីថ្មីដើម្បីលាក់កូដនៅក្នុងប្រព័ន្ធអេកូប្រភពបើកចំហ ដោយទាញយកចន្លោះប្រហោងក្នុងឧបករណ៍សុវត្ថិភាពបែបប្រពៃណី។

ហេតុអ្វីបានជា npm គឺជាគោលដៅសំខាន់

ការកកិតទាបនៃប្រព័ន្ធអេកូសម្រាប់ npm សម្រាប់ការបោះពុម្ពកញ្ចប់ រួមជាមួយនឹងការប្រតិបត្តិដោយស្វ័យប្រវត្តិនៃការដំឡើងជាមុន ដំឡើង និងស្គ្រីបក្រោយការដំឡើង ធ្វើឱ្យវាក្លាយជាគោលដៅចម្បង។ អ្នកវាយប្រហារអាចលាក់អាកប្បកិរិយាព្យាបាទនៅក្នុងស្គ្រីបវដ្តជីវិត ដែលជារឿយៗដោយគ្មានចំណេះដឹងរបស់អ្នកអភិវឌ្ឍន៍ ដោយបង្ហាញពីតម្រូវការសម្រាប់ការប្រុងប្រយ័ត្នខ្ពស់ និងការអនុវត្តសុវត្ថិភាពដ៏រឹងមាំនៅក្នុងបរិយាកាសអភិវឌ្ឍន៍ទំនើប។