September 9, 2025
นิตยสารออนไลน์ The Hacker News, และ KrebsonSecurity พร้อมใจกันลงข่าวว่า
Charlie Eriksen แห่งบริษัท Aikido Security ค้นพบว่า JavaScript package ที่มีให้ download บนเว็บไซต์
Node Package Manager (NPM) ซึ่งดูแลโดย Josh Junon (aka Qix)
ถูกฝังด้วย malicious code จึงติดต่อผู้ดูแล ซึ่งต่อมาสารภาพว่า ถูกทำ Phishing จนผู้ร้ายยึดบัญชีผู้ใช้ไปได้
ปัจจุบันพบว่า JavaScript ประมาณ 18-20 package
ถูกฝังด้วย malicious code เพื่อขโมย Cryptocurrency
มียอด download สัปดาห์ละ 2 พันล้าน (billion) ครั้ง
เป็นหมวดปัญหา Software Supply-Chain Security
[กรุณาอ่านรายชื่อ package ในข่าวฉบับเต็มดังแนบท้าย]
จึงแจ้งมาเพื่อทราบ,
ภาคผนวก:
อ่านข่าวฉบับเต็ม และรายชื่อ package ที่ปนเปื้อน ของ The Hacker News ได้ที่:
https://thehackernews.com/2025/09/20-popular-npm-packages-with-2-billion.html
อ่านข่าวฉบับเต็ม และรายชื่อ package ที่ปนเปื้อน ของ KrebsonSecurity ได้ที่:
https://krebsonsecurity.com/2025/09/18-popular-code-packages-hacked-rigged-to-steal-crypto