CISA แจ้งเตือนการโจมตี Supply Chain กระทบแพ็กเกจ Axios บน npm
-
วันที่ 21 เมษายน 2026 Cybersecurity and Infrastructure Security Agency (CISA) เผยแพร่ประกาศเพื่อให้แนวทางในการรับมือกรณีการโจมตีห่วงโซ่อุปทานซอฟต์แวร์ (software supply chain compromise) ที่ส่งผลกระทบต่อแพ็กเกจ Axios บน npm โดย Axios เป็นไคลเอนต์ HTTP สำหรับ JavaScript ที่นักพัฒนานิยมใช้งานอย่างแพร่หลายในสภาพแวดล้อม Node.js และเบราว์เซอร์
ในวันเมื่อวันที่ 31 มีนาคม 2026 พบว่าแพ็กเกจ npm ของ Axios จำนวน 2 เวอร์ชัน ได้แก่ [email protected] และ [email protected] ถูกแทรก dependency ที่เป็นอันตรายชื่อ [email protected] ซึ่งมีพฤติกรรมดาวน์โหลดเพย์โหลดหลายขั้นตอนจากโครงสร้างพื้นฐานของผู้ไม่หวังดีทางไซเบอร์ รวมถึง โทรจันสำหรับการเข้าถึงระบบจากระยะไกล (remote access trojan) บนเครื่องที่ได้รับผลกระทบได้
CISA ขอให้องค์กรดำเนินมาตรการต่อไปนี้เพื่อตรวจจับและแก้ไขความเสียหายที่อาจเกิดขึ้นจากการถูกโจมตี
- เฝ้าระวังและตรวจสอบคลังเก็บซอร์สโค้ด (code repositories), ระบบ Continuous Integration/Continuous Delivery (CI/CD) และเครื่องของนักพัฒนาที่มีการรันคำสั่ง npm install หรือ npm update โดยใช้ Axios เวอร์ชันที่ได้รับผลกระทบ
- ค้นหาเวอร์ชันที่ถูกแคชไว้ของ dependency ที่ได้รับผลกระทบใน artifact repositories และเครื่องมือจัดการ dependency พร้อมทั้งกำหนด (pin) เวอร์ชันของ npm package dependencies ให้เป็นเวอร์ชันที่ยืนยันแล้วว่าปลอดภัย
- หากตรวจพบ dependency ที่ถูกบุกรุก ให้ย้อนสภาพแวดล้อมกลับไปยังสถานะที่ปลอดภัยและเชื่อถือได้
- ปรับลดเวอร์ชันไปใช้ [email protected] หรือ [email protected] และลบไดเรกทอรี node_modules/plain-crypto-js/
- เปลี่ยนหรือเพิกถอนข้อมูลรับรอง (credentials) ที่อาจรั่วไหลบนระบบหรือใน pipeline ที่ได้รับผลกระทบ เช่น โทเคนของระบบควบคุมเวอร์ชัน (VCS tokens), ความลับในระบบ CI/CD, cloud keys, npm tokens และกุญแจ Secure Shell (SSH) สำหรับงาน CI แบบชั่วคราว (ephemeral CI jobs) ควรเปลี่ยนความลับทั้งหมดที่ถูกนำไปใช้ในรอบการทำงานที่ได้รับผลกระทบ
- เฝ้าระวังกระบวนการย่อย (child processes) ที่ไม่คาดคิด และพฤติกรรมเครือข่ายที่ผิดปกติ โดยเฉพาะในระหว่างการรัน npm install หรือ npm update
- บล็อกและเฝ้าระวังการเชื่อมต่อขาออกไปยังโดเมน Sfrclak[.]com
- ดำเนินการค้นหาตัวบ่งชี้การถูกโจมตี (Indicators of Compromise: IoCs) อย่างต่อเนื่อง และตรวจสอบเชิงลึกด้วยระบบ Endpoint Detection and Response (EDR) เพื่อยืนยันว่าไม่มีร่องรอยการบุกรุกหลงเหลืออยู่ รวมทั้งต้องมั่นใจว่าไม่มีการเชื่อมต่อออกไปยังระบบ Command and Control (C2) อีกต่อไป
นอกจากนี้ CISA ยังแนะนำให้องค์กรที่ใช้งาน Axios บน npm ดำเนินมาตรการเพิ่มเติม ดังนี้
- บังคับใช้การยืนยันตัวตนหลายปัจจัยแบบต้านทานฟิชชิง (phishing-resistant multifactor authentication: MFA) กับบัญชีนักพัฒนาทั้งหมด โดยเฉพาะบัญชีที่ใช้กับแพลตฟอร์มสำคัญ
- กำหนดค่า ignore-scripts=true ในไฟล์กำหนดค่า .npmrc เพื่อป้องกันไม่ให้สคริปต์ที่อาจเป็นอันตรายถูกรันระหว่างการติดตั้งแพ็กเกจด้วย npm
- กำหนดค่า min-release-age=7 ในไฟล์ .npmrc เพื่ออนุญาตให้ติดตั้งเฉพาะแพ็กเกจที่ถูกเผยแพร่มาแล้วอย่างน้อย 7 วัน ซึ่งช่วยลดความเสี่ยงจากการติดตั้งแพ็กเกจที่ยังไม่ได้รับการตรวจสอบอย่างรอบคอบ หรืออาจเป็นแพ็กเกจที่เป็นอันตราย
- จัดทำและคงไว้ซึ่งค่าพื้นฐานของพฤติกรรมการทำงานปกติ (baseline) สำหรับเครื่องมือที่ใช้งาน Axios
- ตั้งค่าแจ้งเตือนเมื่อ dependency มีพฤติกรรมผิดไปจากปกติ เช่น มีการสร้างคอนเทนเนอร์ เปิดเชลล์ หรือสั่งรันคำสั่งต่าง ๆ รวมถึงติดตามกิจกรรมเครือข่ายขาออกเพื่อค้นหาการเชื่อมต่อที่ผิดปกติ
สำหรับแนวทางเพิ่มเติมเกี่ยวกับกรณีการโจมตีครั้งนี้ CISA แนะนำให้ศึกษาเอกสารจากแหล่งข้อมูลต่อไปนี้
GitHub: https://github.com/axios/axios/issues/10636
Microsoft: https://www.microsoft.com/en-us/security/blog/2026/04/01/mitigating-the-axios-npm-supply-chain-compromise/
StepSecurity: https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan
npm Docs: https://docs.npmjs.com/packages-and-modules/securing-your-code
Socket: https://socket.dev/blog/axios-npm-package-compromisedอ้างอิง
https://www.cisa.gov/news-events/alerts/2026/04/20/supply-chain-compromise-impacts-axios-node-package-manager
สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand
