bitkub-banner
Siam Blockchain
By
เมษายน 2, 2026

แฮกเกอร์เกาหลีเหนือเจาะไลบรารี Axios บน npm กระทบบริษัทสหรัฐฯ หลายพันแห่ง

ความปลอดภัยทางไซเบอร์
แฮกเกอร์เกาหลีเหนือเจาะไลบรารี Axios บน npm กระทบบริษัทสหรัฐฯ หลายพันแห่ง
พร้อมเล่น 0:00 / 0:00
สรุปข่าว
  • แฮกเกอร์ที่เชื่อมโยงกับเกาหลีเหนือ (กลุ่ม UNC1069) เจาะบัญชีผู้ดูแลระบบของไลบรารี JavaScript ชื่อดัง “Axios” บน npm registry เมื่อวันที่ 31 มี.ค. 2569 และปล่อยเวอร์ชันที่มีโค้ดอันตรายออกมาเป็นเวลาราว 3 ชั่วโมง
  • ผู้ใช้งานประมาณ 3% ของฐานผู้ใช้ Axios ดาวน์โหลดเวอร์ชันอันตรายไป บริษัทรักษาความปลอดภัย Huntress ระบุพบอุปกรณ์ที่ถูกเจาะแล้วอย่างน้อย 135 เครื่องใน 12 บริษัท และคาดว่าผลกระทบจริงจะกว้างกว่านี้
  • ผู้เชี่ยวชาญจาก Mandiant เตือนว่าแฮกเกอร์อาจใช้ข้อมูลและสิทธิ์ที่ขโมยมาโจมตีคริปโตของบริษัทต่าง ๆ ในระยะยาว และอาจใช้เวลาหลายเดือนกว่าจะประเมินความเสียหายได้ครบถ้วน

แนวโน้มผลกระทบต่อราคา  Bearish

การโจมตีแบบ supply-chain จากเกาหลีเหนือที่มุ่งเป้าโครงสร้างพื้นฐานคริปโตเป็นสัญญาณเชิงลบต่อตลาด เพราะสร้างความกังวลด้านความปลอดภัยในวงกว้าง แม้ยังไม่มีการยืนยันว่ามีสินทรัพย์คริปโตถูกขโมยจากเหตุการณ์นี้โดยตรง แต่ถ้าแฮกเกอร์นำข้อมูลที่ขโมยมาโจมตีกระดานเทรดหรือกระเป๋าเงินขององค์กรในอนาคต อาจส่งผลให้เกิดแรงขายตามมาได้

เมื่อวันที่ 1 เม.ย. 2569 ตามเวลาไทย นักวิเคราะห์จาก Google Threat Intelligence Group (GTIG) และ Mandiant รายงานว่าแฮกเกอร์ที่คาดว่าเชื่อมโยงกับเกาหลีเหนือได้โจมตีแบบ supply-chain ต่อไลบรารี JavaScript โอเพนซอร์สชื่อดัง “Axios” ซึ่งใช้กันอย่างแพร่หลายในหมู่นักพัฒนาซอฟต์แวร์ทั่วโลก ตามรายงานจาก

https://x.com/Cointelegraph/status/2039437679792681172
“>Cointelegraph การโจมตีดังกล่าวส่งผลกระทบต่อบริษัทในสหรัฐอเมริกาหลายพันแห่ง และมีเป้าหมายที่อาจรวมถึงโครงสร้างพื้นฐานคริปโต โดยทีมวิจัยได้ระบุว่าเป็นฝีมือของกลุ่ม UNC1069 ซึ่งเป็นกลุ่มแฮกเกอร์ที่มีแรงจูงใจทางการเงินและมีความเชื่อมโยงกับเกาหลีเหนือ

https://x.com/Cointelegraph/status/2039437679792681172
“,”type”:”rich”,”providerNameSlug”:”twitter”,”responsive”:true} –>
https://x.com/Cointelegraph/status/2039437679792681172

รายละเอียดการโจมตีและขอบเขตความเสียหาย

การโจมตีเกิดขึ้นเมื่อวันที่ 31 มี.ค. 2569 เมื่อแฮกเกอร์เจาะเข้าบัญชี npm ของผู้ดูแลระบบ Axios และปล่อยเวอร์ชันที่มีโค้ดอันตรายสองเวอร์ชัน ได้แก่ 1.14.1 และ 0.30.4 เวอร์ชันเหล่านี้ซ่อน dependency ชื่อ “[email protected]” ซึ่งเมื่อติดตั้งแล้วจะรันสคริปต์ “setup.js” ที่ถูกปิดบังไว้โดยอัตโนมัติ และทำการติดตั้งแบ็กดอร์ชื่อ WAVESHAPER.V2 บนระบบปฏิบัติการ Windows, macOS และ Linux

โค้ดอันตรายดังกล่าวถูกเผยแพร่อยู่บน npm registry เป็นเวลาประมาณ 3 ชั่วโมง ตั้งแต่เวลาตี 7:21 ถึงตี 10:20 น. ตามเวลาไทย (00:21 03:20 UTC) ก่อนจะถูกลบออก ในช่วงเวลาดังกล่าว ผู้ใช้งานราว 3% ของฐานผู้ใช้ Axios ซึ่งโดยปกติมียอดดาวน์โหลดสัปดาห์ละหลายสิบล้านครั้ง ได้ดาวน์โหลดเวอร์ชันอันตรายไป บริษัทรักษาความปลอดภัย Huntress ระบุพบอุปกรณ์ที่ถูกเจาะแล้วอย่างน้อย 135 เครื่องใน 12 บริษัท และคาดว่าผลกระทบจริงน่าจะกว้างกว่านี้มาก

ภัยคุกคามต่อโลกคริปโตในระยะยาว

สิ่งที่น่ากังวลไม่แพ้ตัวการโจมตีก็คือ ผลกระทบในระยะยาวที่อาจตามมา Charles Carmakal ประธานเจ้าหน้าที่ด้านเทคนิคของ Mandiant เตือนว่าแฮกเกอร์จะใช้ข้อมูลรับรองตัวตนและสิทธิ์เข้าถึงระบบที่ขโมยมาได้ เพื่อโจมตีและขโมยคริปโตจากบริษัทต่าง ๆ ในระยะยาว โดยอาจใช้เวลาหลายเดือนกว่าจะประเมินความเสียหายจากปฏิบัติการนี้ได้ครบถ้วน ขณะนี้ยังไม่มีการยืนยันว่ามีสินทรัพย์คริปโตถูกขโมยไปจากเหตุการณ์นี้โดยตรง

กลุ่ม UNC1069 มีประวัติมุ่งเป้าโจมตีสินทรัพย์ดิจิทัลและภาคการเงินมาตั้งแต่ปี 2561 และมีความเชี่ยวชาญด้านการโจมตีแบบ supply-chain เพื่อขโมยคริปโต การโจมตีครั้งนี้มีรูปแบบคล้ายกับการโจมตี Bybit ในเดือนกุมภาพันธ์ 2568 ซึ่งกลุ่ม Lazarus ที่เชื่อมโยงกับเกาหลีเหนือสามารถขโมย ETH และ stETH มูลค่าราว 1.5 พันล้านดอลลาร์ ผ่านการเจาะระบบพัฒนาซอฟต์แวร์ของ Safe{Wallet} ก่อนหน้านี้ Siam Blockchain ได้รายงานเกี่ยวกับ เครือข่าย Wallet กว่า 11,000 ใบที่เชื่อมโยงกับคดีแฮ็ก Bybit รวมถึง แฮกเกอร์เกาหลีเหนือที่พยายามสมัครงานเข้า Binance ทุกวัน ซึ่งสะท้อนให้เห็นว่ากิจกรรมของกลุ่มนี้ยังคงดำเนินต่อเนื่องในหลายรูปแบบ

เกาหลีเหนือกับการขโมยคริปโตสะสมกว่า $3 พันล้าน

การโจมตีผ่าน Axios ครั้งนี้เป็นเพียงส่วนหนึ่งของแคมเปญที่ยาวนาน องค์การสหประชาชาติประเมินว่าเกาหลีเหนือได้ขโมยคริปโตไปรวมกว่า 3 พันล้านดอลลาร์นับตั้งแต่ปี 2560 โดยเงินที่ขโมยได้ถูกนำไปสนับสนุนโครงการอาวุธนิวเคลียร์ของประเทศ นอกจากนี้ ในเดือนมีนาคม 2569 บริษัท Bitrefill ยังถูกโจมตีในลักษณะที่คาดว่าเป็นฝีมือของกลุ่ม Lazarus เช่นกัน ส่งผลให้ข้อมูลการซื้อกว่า 18,500 รายการและกระเป๋าเงินบางส่วนถูกเข้าถึงโดยไม่ได้รับอนุญาต

ส่วนตัวผู้เขียนมองว่าการโจมตีครั้งนี้น่าเป็นห่วงมากกว่าที่หลายคนคิด เพราะ Axios เป็นไลบรารีที่นักพัฒนาทั่วโลกใช้กันอย่างแพร่หลาย รวมถึงในโปรเจกต์คริปโตและ DeFi ด้วย แม้ว่าโค้ดอันตรายจะถูกลบออกไปแล้ว แต่อุปกรณ์ที่ดาวน์โหลดเวอร์ชันที่มีปัญหาไปและยังไม่ได้รับการตรวจสอบ ก็ยังอาจเป็นช่องทางให้แฮกเกอร์กลับมาได้อีก สิ่งที่ต้องจับตาในช่วงนี้คือข่าวการขโมยคริปโตขนาดใหญ่จากบริษัทหรือกระดานเทรดที่อาจประกาศออกมาในอีกไม่กี่สัปดาห์หรือเดือนข้างหน้า เพราะแฮกเกอร์มักไม่ได้โจมตีทันที แต่รอเก็บข้อมูลและหาจังหวะที่เหมาะสมก่อน สำหรับผู้ที่ทำงานด้านพัฒนาซอฟต์แวร์และมีการใช้ Axios แนะนำให้ตรวจสอบว่าติดตั้งเวอร์ชันใดอยู่ และตรวจสอบระบบด้วยเครื่องมือรักษาความปลอดภัยโดยเร็ว

เครดิตภาพจาก

https://x.com/shah_sheikh/status/2039353917390376963
” target=”_blank” rel=”noopener”>@shah_sheikh

Siam Blockchain
คุณเชน

คุณเชน เป็นระบบรายงานข่าวอัตโนมัติของ Siam Blockchain ที่ทำงานภายใต้การกำกับดูแลของกองบรรณาธิการ ระบบได้รับการออกแบบให้ติดตามและรวบรวมข้อมูลจากแหล่งข่าวที่น่าเชื่อถือหลายแห่งแบบเรียลไทม์ โดยเน้นความถูกต้อง รวดเร็ว และครบถ้วน เนื้อหาทุกชิ้นผ่านการตรวจสอบข้อเท็จจริงและความถูกต้องโดยทีมบรรณาธิการของ Siam Blockchain ก่อนเผยแพร่ เพื่อให้ผู้อ่านได้รับข่าวสารคริปโตเคอร์เรนซีที่เชื่อถือได้และทันเหตุการณ์