News (KM)

ការវាយប្រហារលើការចែកចាយ Axios លើ NPM សម្របសម្រួលកញ្ចប់ និងប៉ះពាល់ដល់ប្រព័ន្ធអេកូអភិវឌ្ឍន៍ដ៏ធំ

Por Redação

Publicado em 31 de março de 2026

Axios NPM Distribution

Siga o Mix Vale no GoogleVeja as notícias do Mundo com destaque nas buscas do GoogleAdicionar

គណនី npm របស់អ្នកថែទាំ Axios គឺជាគោលដៅនៃការវាយប្រហារតាមអ៊ីនធឺណិតនៅថ្ងៃទី 31 ខែមីនា ឆ្នាំ 2026 ដែលបណ្តាលឱ្យមានការបោះពុម្ពផ្សាយកំណែព្យាបាទចំនួនពីរនៃកញ្ចប់ npm ដ៏ពេញនិយម (v1.14.1 និង v0.30.4) ។ ឧប្បត្តិហេតុ Este បានណែនាំពីភាពអាស្រ័យសម្រាប់ `plain-crypto-js` ដែលជាកញ្ចប់ Trojanized ថ្មី បង្កើតភាពងាយរងគ្រោះដ៏សំខាន់នៅក្នុងខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធី។

ទោះបីជាកំណែដែលត្រូវបានសម្របសម្រួលត្រូវបានដកចេញភ្លាមៗក្នុងរយៈពេលប៉ុន្មានម៉ោងក៏ដោយ ការប្រើប្រាស់យ៉ាងទូលំទូលាយនៃ Axios – មានវត្តមាននៅក្នុងបរិស្ថានពពក និងកូដប្រហែល 80% ហើយជាមួយនឹងការទាញយកប្រហែល 100 លានប្រចាំសប្តាហ៍ – ជួយសម្រួលដល់ការបង្ហាញយ៉ាងឆាប់រហ័ស។ មេរោគ Observou ត្រូវបានប្រតិបត្តិក្នុង 3% នៃបរិស្ថានដែលរងផលប៉ះពាល់ មុនពេលការគំរាមកំហែងត្រូវបានផ្ទុកទាំងស្រុង។

អង្គការជុំវិញពិភពលោកឥឡូវនេះត្រូវបានណែនាំយ៉ាងខ្លាំងឱ្យធ្វើសវនកម្មយ៉ាងម៉ត់ចត់នៃប្រព័ន្ធរបស់ពួកគេដើម្បីកំណត់អត្តសញ្ញាណការប្រតិបត្តិដែលអាចកើតមាននៃកំណែសម្របសម្រួលទាំងនេះ ដែលតាមដានដោយលេខសម្គាល់ GHSA-fw8c-xr5c-95f9 និង MAL-2026-2306 ហើយចាត់វិធានការកែតម្រូវជាបន្ទាន់ដើម្បីកាត់បន្ថយហានិភ័យ។

ការបំពានព័ត៌មានលម្អិត និងកញ្ចប់ព្យាបាទ

កំណែក្លែងបន្លំនៃ Axios មានភាពខុសប្លែកគ្នាពីកំណែស្របច្បាប់ ដោយរួមបញ្ចូលការពឹងផ្អែកដោយផ្ទាល់លើ `plain-crypto-js` ដែលជាកញ្ចប់ដែលត្រូវបានបង្កើតជាពិសេសដោយមានចេតនាព្យាបាទ។ Essas ការកែសម្រួលដែលត្រូវបានសម្របសម្រួលត្រូវបានណែនាំដោយផ្ទាល់ទៅក្នុងបញ្ជីឈ្មោះ npm តាមរយៈគណនីអ្នកថែទាំដែលត្រូវបានបំពាន ហើយក្រោយមកត្រូវបានដកចេញបន្ទាប់ពីកំហុសត្រូវបានរកឃើញយ៉ាងឆាប់រហ័ស។

ទោះបីជាមានការប៉ះពាល់រយៈពេលខ្លីក៏ដោយ អត្រាប្រេវ៉ាឡង់ខ្ពស់នៃ Axios នៅក្នុងសហគមន៍អភិវឌ្ឍន៍បានបណ្តាលឱ្យមានការរីករាលដាលយ៉ាងខ្លាំង ដែលឈានដល់ការប្រតិបត្តិដែលអាចវាស់វែងបាននៃកូដព្យាបាទនៅក្នុងបរិយាកាសចម្រុះ។ ស្ថានភាព Essa គូសបញ្ជាក់ល្បឿនដែលការវាយប្រហារតាមខ្សែសង្វាក់ផ្គត់ផ្គង់អាចរីករាលដាល ទោះបីជាមានការឆ្លើយតបយ៉ាងរហ័សក៏ដោយ។

យន្តការឆ្លង និងប្រភេទនៃមេរោគ

កញ្ចប់ព្យាបាទមាន dropper ដែលត្រូវបានកំណត់ថាជា `setup.js` ដែលមានមុខងារទាញយក និងដំណើរការបន្ទុកដំណាក់កាលទីពីរជាក់លាក់តាមវេទិកាពីម៉ាស៊ីនមេ `sfrclak.com:8000`។ ការប្រតិបត្តិ Após ឧបករណ៍ទម្លាក់ដំណើរការសម្អាតដោយខ្លួនឯង យកចេញ និងស្ដារឯកសារ ‘package.json’ ស្អាតឡើងវិញ គោលបំណងធ្វើឱ្យការរកឃើញកាន់តែពិបាក។ បន្ទុកបន្ទាប់បន្សំដំណើរការជា trojans ចូលប្រើពីចម្ងាយទម្ងន់ស្រាល (RATs) ទំនាក់ទំនងជាមួយម៉ាស៊ីនមេបញ្ជា និងបញ្ជា (C2) រៀងរាល់ 60 វិនាទី បញ្ជូនសារពើភ័ណ្ឌប្រព័ន្ធ និងរង់ចាំការណែនាំ។ Embora ទោះបីជាវ៉ារ្យ៉ង់ទាំងបីអនុវត្តមុខងារស្រដៀងគ្នា — រួមទាំងការប្រតិបត្តិសែលពីចម្ងាយ ការចាក់ប្រព័ន្ធគោលពីរ ការរុករកថត ការចុះបញ្ជីដំណើរការ និងការយល់ដឹងអំពីប្រព័ន្ធ — ពួកគេខុសគ្នាក្នុងការអនុវត្តរបស់ពួកគេសម្រាប់ប្រព័ន្ធប្រតិបត្តិការនីមួយៗ។ នៅលើ macOS payload គឺជាប្រព័ន្ធគោលពីរសកល Mach-O ដែលចងក្រងជា C++ ដែលមានសមត្ថភាពចុះហត្ថលេខាលើ payloads បញ្ចូលតាម codesign។ No Windows បន្ទុកគឺជាស្គ្រីប PowerShell ដែលបង្កើតភាពជាប់លាប់តាមរយៈសោចុះបញ្ជី Run (MicrosoftUpdate) និងឯកសារបាច់ទាញយកឡើងវិញ។ Já នៅលើ Linux បន្ទុកត្រូវបានបញ្ជូនជាស្គ្រីប Python ដែលបង្ហាញពីភាពបត់បែនរបស់អ្នកវាយប្រហារក្នុងការកំណត់គោលដៅលើវេទិកាផ្សេងៗ។

វិធានការបន្ទាន់សម្រាប់ក្រុមសន្តិសុខ

ដោយមើលឃើញពីភាពធ្ងន់ធ្ងរនៃឧបទ្ទវហេតុនេះ ក្រុមសន្តិសុខត្រូវតែផ្តល់អាទិភាពដល់សកម្មភាពជាបន្ទាន់ជាបន្តបន្ទាប់។ វាមានសារៈសំខាន់ណាស់ក្នុងការធ្វើសវនកម្មលើការប្រើប្រាស់ Axios ដើម្បីកំណត់ថាតើកំណែដែលរងផលប៉ះពាល់ (1.14.1 ឬ 0.30.4) ត្រូវបានទាញយក ឬដំណើរការគ្រប់ទីកន្លែងក្នុងបរិយាកាសអភិវឌ្ឍន៍ ឬផលិតកម្ម។

ប្រសិនបើមានការចង្អុលបង្ហាញអំពីការប្រតិបត្តិកញ្ចប់ព្យាបាទ ការសន្និដ្ឋានត្រូវតែថាព័ត៌មានសម្ងាត់ត្រូវបានសម្របសម្រួល។ Recomenda ស្កេនប្រព័ន្ធដែលរងផលប៉ះពាល់សម្រាប់អាថ៌កំបាំង ដូចជាអថេរបរិស្ថាន សោ API និងសញ្ញាសម្ងាត់ចូលប្រើ ហើយបង្វិលព័ត៌មានសម្ងាត់ទាំងនេះ។

លើសពីនេះ វាជាការចាំបាច់ក្នុងការស៊ើបអង្កេតលើផ្លូវដែលអាចកើតមាននៃការសម្របសម្រួល។ ក្រុមគួរពិនិត្យមើលការស្ថាបនាបំពង់បង្ហូរប្រេង និងម៉ាស៊ីនអ្នកអភិវឌ្ឍន៍សម្រាប់សញ្ញាណាមួយនៃការចូលប្រើប្រាស់ដោយគ្មានការអនុញ្ញាត ឬការជាប់គាំង ដោយសារមេរោគអាចរីករាលដាលកំឡុងពេលដំឡើង និងបំផ្លាញខ្សែសង្វាក់ផ្គត់ផ្គង់ចរន្ត។

ការប្រុងប្រយ័ត្នជាបន្តគឺចាំបាច់ ជាមួយនឹងការតាមដានសកម្មភាពគួរឱ្យសង្ស័យ រួមទាំងការតភ្ជាប់ទៅខាងក្រៅទៅកាន់ `sfrclak.com:8000`។ Também វាចាំបាច់ណាស់ក្នុងការវិភាគកំណត់ហេតុសម្រាប់ឥរិយាបថ beaconing សំណើ HTTP POST មិនធម្មតា ឬដំណើរការដំណើរការដែលមិនរំពឹងទុកទាក់ទងនឹងការដំឡើងកញ្ចប់។

ការកំណត់អត្តសញ្ញាណសំខាន់ៗនៃការសម្របសម្រួល (IOCs)

ការកំណត់អត្តសញ្ញាណឲ្យបានត្រឹមត្រូវនៃវត្ថុបុរាណដែលមានគំនិតអាក្រក់គឺមានសារៈសំខាន់សម្រាប់ការកាត់បន្ថយឧប្បត្តិហេតុ និងការឆ្លើយតប។ សូចនករ Diversos នៃការសម្របសម្រួលត្រូវបានចាត់ថ្នាក់ដើម្បីជួយដល់អង្គការនានាក្នុងការរកឃើញការប៉ះពាល់ និងការឆ្លង។

ក្នុងចំណោមកញ្ចប់ដែលសម្របសម្រួលដំណាក់កាលដំបូង `axios-0.30.4.tgz` (SHA256: 59336a964f110c25c112bcc5adca7090296b54ab33fa95c0744b94f8a0d80c.1f. និង `1. (SHA256: 5bb67e88846096f1f8d42a0f0350c9c46260591567612ff9af46f98d1b7571cd) ទាំងពីរតំណាងឱ្យដំណាក់កាលដំបូងនៃការវាយប្រហារតាមរយៈកញ្ចប់ npm ។

កញ្ចប់ព្យាបាទដំណាក់កាលទី 1.5 ដែលជា Trojanized `plain-crypto-js-4.2.1.tgz` មានសញ្ញា SHA256៖ 58401c195fe0a6204b42f5f90995ece5fab74ce7c69c67a657c61aaf សមាសធាតុ Este គឺសំខាន់ព្រោះវាជាភាពអាស្រ័យដែលបានណែនាំកូដមិនសមរម្យទៅក្នុងប្រព័ន្ធ។

បន្ទុកដំណាក់កាលទីពីរក៏ត្រូវបានកំណត់អត្តសញ្ញាណផងដែរ៖ សម្រាប់ macOS ប្រព័ន្ធគោលពីរសម្រាប់ និងសម្រាប់ Linux អក្សរ Python `ld.py` (SHA256: fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa5581af13

IOCs សំខាន់ៗផ្សេងទៀតរួមមាន:

ដែន C2៖`sfrclak[.]com`

IP C2៖`142.11.206[.]73`

ច្រក C2៖Porta 8000

ផ្លូវយុទ្ធនាការ៖`/6202033`

ផ្លូវតស៊ូរបស់ macOS៖`/Library/Caches/com.apple.act.mond`

វត្ថុបុរាណ Windows៖`%PROGRAMDATA%wt.exe`, `%TEMP%6202033.vbs`, `%TEMP%6202033.ps1`

ស្គ្រីប Linux៖`/tmp/ld.py`

គណនី npm ដែលត្រូវបានសម្របសម្រួល៖`jasonsaayman` (អ៊ីមែលបានប្តូរទៅ [email protected]), `nrwise` (បោះពុម្ពផ្សាយធម្មតា-crypto-js)។

ការឆ្លើយតប និងការការពារការវាយប្រហារនៅក្នុងខ្សែសង្វាក់ផ្គត់ផ្គង់

ការរកឃើញយ៉ាងឆាប់រហ័ស និងការដកចេញនូវកំណែព្យាបាទរបស់ Axios ខណៈពេលដែលមានសារៈសំខាន់ មិនលុបបំបាត់តម្រូវការសម្រាប់ការវិភាគកាន់តែស៊ីជម្រៅអំពីភាពធន់នៃខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធីនោះទេ។ Incidentes បែបនេះជួយពង្រឹងសារៈសំខាន់នៃយុទ្ធសាស្រ្តសន្តិសុខសកម្ម ដែលលើសពីប្រតិកម្មចំពោះការវាយប្រហារដែលបានបញ្ចប់រួចហើយ។ Desenvolvedores និងអង្គការត្រូវតែអនុវត្តវិធានការដ៏រឹងមាំដើម្បីធានាលំហូរការងាររបស់ពួកគេ ចាប់ពីការសរសេរកូដដំបូងរហូតដល់ការចែកចាយចុងក្រោយ ដោយធានាបាននូវភាពត្រឹមត្រូវនៃសមាសធាតុនីមួយៗ។

សុវត្ថិភាពសង្វាក់ផ្គត់ផ្គង់អាស្រ័យលើវិធីសាស្រ្តពហុមុខ រួមទាំងការទទួលយកការផ្ទៀងផ្ទាត់ពហុកត្តាខ្លាំង (MFA) សម្រាប់គណនីអ្នកអភិវឌ្ឍន៍ និងអ្នកថែទាំកញ្ចប់ទាំងអស់ ការត្រួតពិនិត្យកូដយ៉ាងម៉ត់ចត់ និងការប្រើប្រាស់ឧបករណ៍ស្កែនភាពអាស្រ័យដោយស្វ័យប្រវត្តិ។ ការអនុវត្ត Essas ជួយកំណត់អត្តសញ្ញាណ និងកាត់បន្ថយភាពងាយរងគ្រោះ មុនពេលពួកវាអាចត្រូវបានកេងប្រវ័ញ្ចដោយតួអង្គព្យាបាទ បង្កើតរបាំងដ៏មានប្រសិទ្ធភាពជាងមុនប្រឆាំងនឹងការប៉ុនប៉ងសម្របសម្រួលនាពេលអនាគត។

ការវិវត្តនៃសុវត្ថិភាពនៅក្នុងកម្មវិធីគ្រប់គ្រងកញ្ចប់

ទិដ្ឋភាពគំរាមកំហែងសម្រាប់អ្នកគ្រប់គ្រងកញ្ចប់ដូចជា NPM កំពុងវិវឌ្ឍឥតឈប់ឈរ ទាមទារឱ្យវេទិកា និងសហគមន៍អ្នកអភិវឌ្ឍន៍សម្របខ្លួនជាបន្តបន្ទាប់។ ការយល់ដឹងអំពីសុវត្ថិភាពសង្វាក់ផ្គត់ផ្គង់បានកើនឡើងយ៉ាងខ្លាំងក្នុងប៉ុន្មានឆ្នាំថ្មីៗនេះ ដែលនាំទៅដល់ការកែលម្អគោលនយោបាយ និងឧបករណ៍រាវរក។

កិច្ចខិតខំប្រឹងប្រែងសហការរវាងអ្នកថែទាំ ក្រុមហ៊ុនសន្តិសុខ និងវេទិកា NPM ខ្លួនវាមានសារៈសំខាន់ក្នុងការពង្រឹងការការពារ។ Isso រួមបញ្ចូលការអនុវត្តការត្រួតពិនិត្យសុវត្ថិភាពកាន់តែតឹងរ៉ឹងសម្រាប់កញ្ចប់ថ្មី និងការអាប់ដេត ក៏ដូចជាការផ្សព្វផ្សាយការអនុវត្តល្អបំផុតក្នុងចំណោមអ្នកប្រើប្រាស់ និងអ្នករួមចំណែកក្នុងសហគមន៍ប្រភពបើកចំហ។

វិធានការបន្តសម្រាប់អ្នកអភិវឌ្ឍន៍

ដើម្បីធានាបាននូវសុវត្ថិភាពដែលកំពុងដំណើរការ អ្នកអភិវឌ្ឍន៍ត្រូវតែរក្សាអាកប្បកិរិយាប្រុងប្រយ័ត្ន។ Isso រួមបញ្ចូលការពិនិត្យមើលភាពត្រឹមត្រូវ និងកេរ្តិ៍ឈ្មោះនៃកញ្ចប់ថ្មី មុនពេលបញ្ចូលពួកវាទៅក្នុងគម្រោង និងចូលចិត្តភាពអាស្រ័យដែលបានបង្កើតឡើង និងរក្សាយ៉ាងសកម្ម។

TagAxios, NPM, ការវាយប្រហារតាមអ៊ីនធឺណិត, ខ្សែសង្វាក់ផ្គត់ផ្គង់, មេរោគ, សន្តិសុខឌីជីថល