แพ็คเกจ npm ที่เป็นอันตรายซึ่งแอบอ้างเป็นตัวติดตั้งสำหรับเฟรมเวิร์กปัญญาประดิษฐ์ (AI) ของ Openclaw กำลังแพร่กระจายมัลแวร์ขโมยข้อมูลรับรองที่ออกแบบมาเพื่อควบคุมเครื่องของนักพัฒนาอย่างเงียบๆ
นักวิจัยด้านความปลอดภัยเปิดเผยแพ็คเกจ npm Openclaw ที่เป็นอันตราย
นักวิจัยด้านความปลอดภัยกล่าวว่าแพ็คเกจนี้เป็นส่วนหนึ่งของการโจมตีในห่วงโซ่อุปทานที่มุ่งเป้าไปที่นักพัฒนาที่ทำงานกับ Openclaw และเครื่องมือ AI อื่นๆ เมื่อถูกติดตั้งแล้ว แพ็คเกจจะเปิดตัวการติดเชื้อแบบเป็นขั้นตอน ซึ่งในที่สุดจะติดตั้งโทรจันเข้าถึงระยะไกลที่รู้จักกันในชื่อ Ghostloader
การโจมตีนี้ถูกระบุโดย JFrog Security Research และเปิดเผยระหว่างวันที่ 8 ถึง 9 มีนาคม 2026 ตามรายงานของบริษัท แพ็คเกจนี้ปรากฏบนคลัง npm ในต้นเดือนมีนาคม และมีการดาวน์โหลดประมาณ 178 ครั้ง ณ วันที่ 9 มีนาคม แม้จะมีการเปิดเผย แต่แพ็คเกจยังคงสามารถใช้งานได้บน npm ในเวลาที่รายงาน
ในแวบแรก ซอฟต์แวร์ดูเหมือนไม่เป็นอันตราย แพ็คเกจใช้ชื่อที่คล้ายกับเครื่องมือของ Openclaw อย่างเป็นทางการ และรวมไฟล์ Javascript และเอกสารประกอบที่ดูธรรมดา นักวิจัยกล่าวว่า ส่วนประกอบที่มองเห็นได้ดูเหมือนไม่มีพิษภัย ในขณะที่พฤติกรรมที่เป็นอันตรายจะถูกกระตุ้นในระหว่างกระบวนการติดตั้ง
เมื่อใครก็ตามติดตั้งแพ็คเกจ สคริปต์ที่ซ่อนอยู่จะทำงานโดยอัตโนมัติ สคริปต์เหล่านี้สร้างภาพลวงตาของตัวติดตั้งคำสั่งแบบถูกต้องตามกฎหมาย โดยแสดงตัวบ่งชี้ความคืบหน้าและข้อความระบบที่ออกแบบมาเพื่อเลียนแบบขั้นตอนการติดตั้งซอฟต์แวร์จริง
ในระหว่างขั้นตอนการติดตั้ง โปรแกรมจะแสดงข้อความขออนุญาตระบบปลอม ซึ่งขอรหัสผ่านคอมพิวเตอร์ของผู้ใช้ ข้อความนี้อ้างว่าจำเป็นเพื่อกำหนดค่าข้อมูลรับรองสำหรับ Openclaw หากรหัสผ่านถูกป้อน มัลแวร์จะได้รับสิทธิ์เข้าถึงข้อมูลระบบที่ละเอียดอ่อนในระดับสูงขึ้น
เบื้องหลัง ฉ installer จะดึง payload ที่เข้ารหัสจากเซิร์ฟเวอร์คำสั่งและควบคุมระยะไกลที่ควบคุมโดยผู้โจมตี เมื่อถอดรหัสและดำเนินการแล้ว Payload นี้จะติดตั้ง Ghostloader ซึ่งเป็นโทรจันเข้าถึงระยะไกล
นักวิจัยกล่าวว่า Ghostloader สร้างความคงทนบนระบบในขณะที่ปลอมตัวเป็นบริการซอฟต์แวร์ปกติ มัลแวร์นี้จะติดต่อกับโครงสร้างพื้นฐานคำสั่งและควบคุมเป็นระยะ เพื่อรับคำสั่งจากผู้โจมตี
โทรจันนี้ถูกออกแบบมาเพื่อเก็บข้อมูลที่ละเอียดอ่อนหลากหลาย ตามการวิเคราะห์ของ JFrog มันมุ่งเป้าไปที่ฐานข้อมูลรหัสผ่าน คุกกี้เบราว์เซอร์ ข้อมูลรับรองที่บันทึกไว้ และที่เก็บข้อมูลการตรวจสอบสิทธิ์ของระบบ ซึ่งอาจมีข้อมูลการเข้าถึงแพลตฟอร์มคลาวด์ บัญชีนักพัฒนา และบริการอีเมล
ผู้ใช้คริปโตเคอเรนซีก็อาจเสี่ยงเพิ่มเติม มัลแวร์จะค้นหาไฟล์ที่เกี่ยวข้องกับกระเป๋าเงินคริปโตบนเดสก์ท็อปและส่วนขยายกระเป๋าเงินบนเบราว์เซอร์ และสแกนโฟลเดอร์ในเครื่องเพื่อหา seed phrases หรือข้อมูลกู้คืนกระเป๋าเงินอื่นๆ
เครื่องมือนี้ยังตรวจสอบกิจกรรมบนคลิปบอร์ดและสามารถเก็บคีย์ SSH และข้อมูลรับรองการพัฒนาที่นักพัฒนามักใช้เพื่อเข้าถึงโครงสร้างพื้นฐานระยะไกล นักวิจัยด้านความปลอดภัยกล่าวว่าการรวมกันนี้ทำให้ระบบของนักพัฒนาน่าดึงดูดเป็นพิเศษ เพราะมักจะเก็บข้อมูลรับรองสำหรับสภาพแวดล้อมการผลิต
นอกจากการขโมยข้อมูลแล้ว Ghostloader ยังมีความสามารถในการเข้าถึงระยะไกล ซึ่งอนุญาตให้ผู้โจมตีสั่งการ ค้นหาไฟล์ หรือส่งข้อมูลเครือข่ายผ่านระบบที่ถูกบุกรุก นักวิจัยกล่าวว่าคุณสมบัติเหล่านี้ทำให้เครื่องที่ติดเชื้อกลายเป็นฐานที่มั่นในสภาพแวดล้อมของนักพัฒนา
ซอฟต์แวร์อันตรายนี้ยังติดตั้งกลไกความคงทนเพื่อให้สามารถเริ่มทำงานใหม่ได้โดยอัตโนมัติหลังจากระบบรีบูต กลไกเหล่านี้มักเกี่ยวข้องกับไดเรกทอรีซ่อนและการแก้ไขการตั้งค่าเริ่มต้นของระบบ
นักวิจัยจาก JFrog ระบุว่าพบสัญญาณหลายอย่างที่เกี่ยวข้องกับแคมเปญ รวมถึงไฟล์ระบบที่น่าสงสัยซึ่งเชื่อมโยงกับบริการ “npm telemetry” และการเชื่อมต่อกับโครงสร้างพื้นฐานที่ควบคุมโดยผู้โจมตี
นักวิเคราะห์ด้านความปลอดภัยไซเบอร์กล่าวว่ากรณีนี้สะท้อนแนวโน้มที่เพิ่มขึ้นของการโจมตีในห่วงโซ่อุปทานที่มุ่งเป้าไปที่ระบบนิเวศของนักพัฒนา ขณะที่เฟรมเวิร์ก AI และเครื่องมืออัตโนมัติได้รับความนิยม ผู้โจมตีจึงมักปลอมตัวมัลแวร์เป็นเครื่องมือช่วยเหลือนักพัฒนา
นักพัฒนาที่ติดตั้งแพ็คเกจนี้ควรลบออกทันที ตรวจสอบการตั้งค่าเริ่มต้นของระบบ ลบไดเรกทอรี telemetry ที่น่าสงสัย และเปลี่ยนรหัสผ่านและข้อมูลรับรองที่เก็บไว้ในเครื่องที่ได้รับผลกระทบ
ผู้เชี่ยวชาญด้านความปลอดภัยยังแนะนำให้ติดตั้งเครื่องมือสำหรับนักพัฒนาจากแหล่งที่เชื่อถือได้เท่านั้น ตรวจสอบแพ็คเกจ npm อย่างละเอียดก่อนการติดตั้งแบบทั่วโลก และใช้เครื่องมือสแกนหาห่วงโซ่อุปทานเพื่อค้นหาขึ้นอยู่ที่น่าสงสัย
โครงการ Openclaw เองยังไม่ได้รับผลกระทบ และนักวิจัยเน้นย้ำว่าการโจมตีนี้อาศัยการแอบอ้างเฟรมเวิร์กผ่านชื่อแพ็คเกจที่หลอกลวง แทนที่จะเป็นการโจมตีโดยตรงต่อซอฟต์แวร์อย่างเป็นทางการ
คำถามที่พบบ่อย 🔎
- แพ็คเกจ npm ของ Openclaw ที่เป็นอันตรายคืออะไร? แพ็คเกจนี้แอบอ้างเป็นตัวติดตั้ง OpenClaw และติดตั้งมัลแวร์ GhostLoader อย่างลับๆ
- มัลแวร์ Ghostloader ขโมยข้อมูลอะไรบ้าง? มันเก็บรหัสผ่าน ข้อมูลรับรองเบราว์เซอร์ ข้อมูลกระเป๋าเงินคริปโต คีย์ SSH และข้อมูลรับรองบริการคลาวด์
- ใครเสี่ยงมากที่สุดจากการโจมตีด้วยมัลแวร์ npm นี้? ผู้ที่ติดตั้งแพ็คเกจนี้ โดยเฉพาะผู้ใช้เฟรมเวิร์ก AI หรือเครื่องมือกระเป๋าเงินคริปโต อาจเปิดเผยข้อมูลรับรองของตนเอง
- ถ้าติดตั้งแพ็คเกจนี้แล้ว ควรทำอะไรบ้าง? ลบออกทันที ตรวจสอบไฟล์เริ่มต้นของระบบ ลบไดเรกทอรี telemetry ที่น่าสงสัย และเปลี่ยนรหัสผ่านและข้อมูลรับรองที่สำคัญทั้งหมด
