โค้ดที่เผยแพร่ไปยัง Node Package Manager (NPM) ถูกจับได้ว่าขโมยรหัสผ่านจากเครื่องมือกู้คืนบัญชีที่ถูกต้องใน Chrome บน Windows. นั่นอิงจากรายงานล่าสุดที่มีรายละเอียดเกี่ยวกับอันตราย ซึ่งพบได้ในสองแพ็คเกจในที่เก็บ NPM
เพื่อความชัดเจน npm เป็นตัวจัดการแพ็คเกจเริ่มต้นสำหรับสภาพแวดล้อมรันไทม์ JavaScript Node.js ที่สร้างขึ้นบนเอ็นจิ้น V8 JavaScript ของ Chrome และคล้ายกับ GitHub หรือ PyPI ส่งผลให้เป็นส่วนหนึ่งของห่วงโซ่อุปทานซอฟต์แวร์ที่จัดการแพ็คเกจ JavaScript โฮสต์แพ็คเกจที่ไม่ซ้ำกันมากถึง 1.5 ล้านแพ็คเกจและจัดการคำขอ JavaScript มากกว่า 1 พันล้านรายการต่อวัน
ปัญหาที่เป็นปัญหาเกิดจากการค้นพบไฟล์ Windows.exe ที่ฝังอยู่ในสองแพ็คเกจ โดยเฉพาะ “Win32.Infostealer.Heuristics” — ซึ่งถูกค้นพบโดยนักวิจัยของ ReversingLabs ใน “nodejs_net_server” และ “temptesttempfile”
เกิดอะไรขึ้นกับสิ่งนี้
ตอนนี้ เมื่อเจาะลึกลงไปในปัญหานี้ nodejs_net_server เป็นแพ็คเกจที่มี 12 เวอร์ชันที่เผยแพร่และดาวน์โหลดมากกว่า 1,300 ครั้งตั้งแต่ ต้นปี 2019 การอัปเดตล่าสุดเมื่อ 6 เดือนที่แล้ว โดยผู้เขียนระบุว่าเป็น “chrunlee” ซึ่งเป็นชื่อที่ปรากฏใน GitHub ด้วย จนถึงจุดนั้นในเดือนธันวาคม 2020 ผ่านการอัปเดตเวอร์ชัน 1.1.0 ที่มีการเพิ่มสคริปต์เพื่อดาวน์โหลดเครื่องมือขโมยรหัสผ่านที่กล่าวถึงข้างต้น
แพ็คเกจที่สอง “temptesttempfile ” มีความลึกลับมากขึ้น ดูเหมือนว่าจะไม่ได้ทำอะไรมากในขณะที่เขียนนี้ นอกเหนือจากการมีฟังก์ชันรีโมตเชลล์แบบเดียวกับที่พบในเวอร์ชันอื่นของแพ็คเกจ nodjs_net_server แต่ในกรณีนี้ ดูเหมือนพวกนั้นไม่ได้ทำอะไรเลยจริงๆ หรืออย่างน้อยที่สุด พวกเขาไม่ได้ดำเนินการเครื่องมือจี้รหัสผ่าน
อย่างไรก็ตาม พบว่ามีการใช้งานเครื่องมือขโมยรหัสผ่านเองในยูทิลิตี้ Google ChromePass สำหรับ Windows Chrome เผยแพร่โดย NirSoft ยูทิลิตีดังกล่าวใช้เพื่อเรียกค้นและดูรหัสผ่านที่จัดเก็บไว้ในเบราว์เซอร์ Chrome ของ Google โดยสรุป
ตอนนี้คุณปลอดภัยจากการขโมยรหัสผ่านเครื่องมือการกู้คืนบัญชีใน Windows Chrome หรือไม่
ตอนนี้ในตอนแรก Reversing Labs ได้ติดต่อทีมรักษาความปลอดภัย npm เมื่อวันที่ 2 กรกฎาคม เกี่ยวกับปัญหาที่นำเสนอโดยแพ็คเกจใน คำถาม. ดูเหมือนว่านั่นทำให้ npm, Inc. เริ่มการสอบสวนของตัวเอง และหลังจากการสอบสวนนั้น บริษัทได้ลบแพ็คเกจที่เป็นอันตรายทั้งสองออกจากที่เก็บ แม้ว่ามีรายงานว่าบริษัทถูกบังคับให้ต้องติดต่อ npm อีกครั้งในวันที่ 15 กรกฎาคม เนื่องจากยังอยู่ในพื้นที่เก็บข้อมูลในขณะนั้น
นั่นหมายความว่าผู้ใช้ปลายทางจะปลอดภัยแล้ว อย่างน้อยที่สุดจากสองแพ็คเกจที่เป็นปัญหา แม้ว่าข่าวจะเน้นถึงปัญหาที่เกี่ยวข้องกับ JavaScript โดยทั่วไป โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับนักพัฒนาบุคคลที่สามที่ใช้ JavaScript และโค้ดอื่นๆถูกดึงออกจากเว็บโดยไม่มีการทดสอบที่เหมาะสม
