កញ្ចប់មួយដែលត្រូវគេឱ្យឈ្មោះថា “aabquerys” ត្រូវប្រទះឃើញនៅលើ JavaScript npm Open-source ដោយប្រើបច្ចេកទេស typosquatting ដើម្បីបើកដំណើរការការទាញយកមេរោគវាយប្រហារ។ ការរកឃើញនេះ ធ្វើឡើងដោយអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខនៅមន្ទីស្រាវជ្រាវ ReversingLabs ដែលនិយាយថា កញ្ចប់ aabquerys អាចទាញយកកម្មវិធីមេរោគដំណាក់កាលទីពីរ និងទីបីទៅកាន់ប្រព័ន្ធដែលមានមេរោគ។
ឈ្មោះកញ្ចប់ “aabquerys” គឺស្រដៀងទៅនឹងឈ្មោះរបស់ម៉ូឌុល npm “abquery” ដែរ ដែលជាភស្តុតាងនៃ “typosquatting” ឬជាការធ្វើឱ្យមានភាពច្របូកច្របល់ និងបោកបញ្ឆោតអ្នកអភិវឌ្ឍន៍ឱ្យទាញយកកញ្ចប់មេរោគនេះដោយស្របច្បាប់ នេះបើយោងតាមសេចក្តីណែនាំដែលក្រុមហ៊ុនបង្ហោះនៅថ្ងៃព្រហស្បតិ៍កន្លងទៅ។ ការសរសេរបែបបច្ចេកទេសដោយអ្នកស្រាវជ្រាវរបស់មន្ទីស្រាវជ្រាវ ReversingLabs ធ្វើការគំរាមកំហែងអ្នកស្រាវជ្រាវ Lucija Valentic និង Karlo Zanki ឱ្យនិយាយថា មានកញ្ចប់មេរោគដែលផ្ទុកឯកសារចំនួនពីរ ដែលមួយត្រូវបំភាន់តាមរយៈ JavaScript obfuscator។
អ្នកស្រាវជ្រាវសរសេរថា “កូដ Open-source មានបំណងឱ្យមនុស្សគ្រប់គ្នាអាចមើល ដូចនេះការព្យាយាមលាក់បាំងនៅក្នុងម៉ូឌុល Open-source គួរតែត្រូវស៊ើបអង្កេត”។ នៅក្នុងករណី aabquerys កូដដែលច្រឡំនៅក្នុងសំណួរត្រូវលុបចោលយ៉ាងងាយស្រួល ដោយវាបង្ហាញឯកសារ JavaScript ដែលបង្ហាញពីការវាយប្រហារយ៉ាងច្បាស់។
នៅពេលបើកដំណើរការកុំព្យូទ័រ ឯកសារនោះបង្ហាញពីសារជាប់គាំងសារ Web Browser ក្លែងក្លាយ និងភ្ជាប់ជាមួយដំណភ្ជាប់ដែលនាំអ្នកទៅទាញយកមេរោគដំណាក់កាលទីពីរ ដែលត្រូវប្រើនៅក្នុងការវាយប្រហារ Malware ជាច្រើន នេះបើយោងតាមប្រភព ReversingLabs។ វាក៏ផ្ទុកនូវឯកសារ Dynamic link library (DLL) ដែលត្រូវទាញយកនូវមេរោគដំណាក់កាលទីបីផងដែរ។
ឯកសារនោះមានឈ្មោះថា “Demon.bin” គឺជាប្រភេទឯកសារមេរោគជាមួយនឹងមុខងារ Trojan (RAT) ដែលអាចចូលបញ្ជាពីចម្ងាយ។ គេរាយការណ៍ថា ឯកសារមេរោគនោះត្រូវអភិវឌ្ឍន៍ដោយការប្រើប្រាស់ open-source post-exploitation command and control (C2) framework Havoc ដោយអ្នកបង្កើតមេរោគ malware C5pider។អ្នកស្រាវជ្រាវ Valentic សរសេរថា ៖“ចាប់តាំងពីរកឃើញកញ្ចប់ aabquerys ម៉ូឌុល npm លុបកញ្ចប់មេរោគមួយនេះ ចេញពីកញ្ចប់មេរោគផ្សេងទៀតរបស់ពួកគេ”។
ស្របពេលជាមួយគ្នាផងដែរ អ្នកស្រាវជ្រាវពន្យល់ថា ការរកឃើញកញ្ចប់មេរោគ និងភស្តុតាងផ្សេងទៀត ដោយអ្នកទទួលខុសត្រូវស្រាវជ្រាវ បង្ហាញពីកំណើនហានិភ័យនៃកញ្ចប់មេរោគដែលត្រូវលាក់នៅក្នុង Open-source ដូចជា npm PyPi និង GitHub ជាដើម។ “ហានិភ័យនេះ ទាមទារឱ្យមានការយកចិត្តទុកដាក់កាន់តែខ្លាំងពីសំណាក់អង្គភាពក្រុមអ្នកអភិវឌ្ឍន៍នានា ចំពោះសញ្ញាច្បាស់លាស់នៃការវាយប្រហារ ឬឥរិយាបទគួរឱ្យសង្ស័យណាមួយនៅក្នុងចង្កោម Open-source។ នៅក្នុងករណីនេះ ក្រុមហ៊ុន Sonatype ចេញផ្សាយនូវអត្ថបទស្រាវជ្រាវថ្មីកាលពីសប្តាហ៍មុន ដោយបង្ហាញពីកញ្ចប់មេរោគមិនតិចជា 400 កញ្ចប់ ដែលត្រូវរកឃើញនៅក្នុងម៉ូឌុល npm កាលពីខែធ្នូ និងជាច្រើនផ្សេងទៀតនៅក្នុងម៉ូឌុល PyPI៕
ប្រែសម្រួល៖ ប៉ោក លក្ខិណា
