ระวัง! npm ถูกโจมตีซ้ำแล้วซ้ำอีก นักพัฒนาเสี่ยงสูญเสียข้อมูลสำคัญ
ช่วงกลางปี 2025 กลายเป็นช่วงเวลาที่มืดมนสำหรับ npm ecosystem หลังพบการโจมตีแบบ supply chain หลายระลอก โดยเฉพาะในเดือนกรกฎาคม มีการโจมตีแบบ phishing กำหนดเป้าไปที่ maintainer ของแพ็กเกจยอดนิยมอย่าง eslint-config-prettier, eslint-plugin-prettier และ synckit โดยแฮ็กเกอร์สร้างโดเมนปลอม npnjs.com (คล้ายกับ npmjs.com) เพื่อหลอกขโมยข้อมูล credentials ของ maintainer แล้วอัปโหลดแพ็กเกจที่มี malware แฝงอยู่ ส่งผลให้มีการดาวน์โหลดแพ็กเกจอันตรายนับพันครั้ง[1][2]
ไม่หยุดแค่นั้น ในเดือนกันยายน ยังมีการโจมตีครั้งใหญ่ที่กำหนดเป้าไปที่แพ็กเกจดังอย่าง debug (มีการดาวน์โหลดมากกว่า 1 พันล้านครั้งต่อสัปดาห์) error-ex และ is-arrayish โดย malware ครั้งนี้เน้นขโมย cryptocurrency wallet ในสภาพแวดล้อม browser[3][4][5] ส่วนแคมเปญล่าสุด PhantomRaven ที่ถูกค้นพบในตอนปลายเดือนตุลาคม พบแพ็กเกจที่เป็นอันตรายถึง 126 รายการที่มียอดดาวน์โหลดรวมกัน 86,000 ครั้ง โดยขโมย npm tokens, GitHub credentials และ CI/CD secrets ผ่านการซ่อน malicious code ไว้ใน dependencies ที่มองไม่เห็น[6]
สำหรับนักพัฒนาไทย: แนะนำให้ตรวจสอบ dependencies ในโปรเจกต์ของคุณอย่างสม่ำเสมอ เปิดใช้ 2FA บนบัญชี npm ใช้เครื่องมืออย่าง npm audit หรือ Snyk ในการสแกนช่องโหว่ และระมัดระวังอีเมล phishing ที่อ้างว่ามาจาก npm อย่างยิ่ง เพราะการโจมตีแบบ supply chain นี้ส่งผลกระทบต่อระบบทั้งหมดที่ใช้แพ็กเกจเหล่านี้ ไม่ใช่แค่เครื่องของคุณคนเดียว