npm แจ้งเตือนว่าแพ็กเกจ bb-builder มีโค้ดมุ่งร้ายที่มุ่งเป้าเหยื่อที่รันวินโดวส์ โดยพยายามอัพโหลดข้อมูลกลับไปยังเซิร์ฟเวอร์ของคนร้าย

ประกาศแจ้งว่าคอมพิวเตอร์ที่ติดตั้งแพ็กเกจนี้แล้วควรถือว่าถูกแฮกไปแล้ว และยกเลิกค่าความลับและกุญแจต่างๆ ที่อยู่บนเครื่องโดยเร็ว แม้แต่การลบแพ็กเกจไปแล้วก็ไม่รับประกันว่าคนร้ายติดตั้งโค้ดมุ่งร้ายอื่นลงบนเครื่องไปแล้วหรือไม่ โดยตอนนี้ bb-builder มีสถานะเป็น security holding ที่ทีมงาน npm ถือไว้เองไม่ให้ใครมาสร้างแพ็กเกจชื่อนี้

ทาง Reversing Labs ผู้รายงานแพ็กเกจนี้ ตรวจสอบฐานข้อมูล npm เพื่อหาไฟล์ประเภทต่างๆ และพบว่ามีแพ็กเกจจำนวนหนึ่งที่เป็นไฟล์ไบนารีสำหรับวินโดวส์ และเมื่อตรวจสอบกลับพบว่ามีโปรแกรม WebBrowserPassView สำหรับการดึงข้อมูลล็อกอินออกมาจากเบราว์เซอร์อยู่ในแพ็กเกจ bb-builder ตั้งแต่เดือนเมษายนปีที่แล้ว

การโจมตีเหยื่อด้วยการใส่โค้ดไว้ในแพ็กเกจ npm มีมาเป็นเวลานาน โดยช่วงแรกเป็นการสร้างแพ็กเกจชื่อคล้าย หรือขอเข้าไปเป็นผู้ดูแลโครงการแทนเจ้าของเดิม

ที่มา - npm, Reversing Labs