Bitcoin Addict - ข่าวสารและบทความคริปโต

แฮกเกอร์ฝัง Backdoor ในแพ็กเกจ npm ของ Injective หวังขโมย Private Key กระเป๋าคริปโตนักพัฒนา
10 July 2026ข่าวคริปโตโดย Rawiwarn Owattasanee

แฮกเกอร์ฝัง Backdoor ในแพ็กเกจ npm ของ Injective หวังขโมย Private Key กระเป๋าคริปโตนักพัฒนา

แฮกเกอร์ได้เจาะแพ็กเกจซอฟต์แวร์ยอดนิยมของ Injective ในการโจมตีแบบ Supply Chain Attack (การโจมตีห่วงโซ่อุปทานซอฟต์แวร์ — เจาะเครื่องมือของนักพัฒนาแทนการเจาะบล็อกเชนโดยตรง) โดยฝังมัลแวร์ที่ออกแบบมาเพื่อขโมย Private Key (กุญแจส่วนตัวสำหรับควบคุมกระเป๋าคริปโต) และ Seed Phrase (ชุดคำกู้คืนกระเป๋า)

 

บริษัทด้านความปลอดภัย Socket ตรวจพบว่าแพ็กเกจ npm (Node Package Manager — ระบบคลังซอฟต์แวร์สำหรับนักพัฒนา JavaScript) ชื่อ @injectivelabs/sdk-ts ซึ่งใช้สำหรับพัฒนาแอปพลิเคชันบนบล็อกเชน Injective และมียอดดาวน์โหลดราว 50,000 ครั้งต่อสัปดาห์ ถูกดัดแปลงให้ฝังโค้ดขโมยข้อมูลกระเป๋าคริปโต

 

ทีมนักวิจัยของ Socket ระบุว่ายอดดาวน์โหลดจำนวนมากทำให้เหตุการณ์นี้ "มีนัยสำคัญต่อนักพัฒนาและแอปพลิเคชันที่เกี่ยวข้องกับกระบวนการทำงานของกระเป๋าเงิน Injective" อย่างไรก็ตาม โค้ดอันตรายดังกล่าวถูกถอดออกจากระบบแล้ว

 

Injective เป็นบล็อกเชน Layer 1 (เครือข่ายบล็อกเชนหลักที่ทำงานได้ด้วยตัวเอง) ที่ออกแบบมาเพื่อรองรับแอปพลิเคชัน DeFi (การเงินแบบกระจายศูนย์) แต่การใช้งานลดลงต่อเนื่องในช่วงสองปีที่ผ่านมา โดยมูลค่าสินทรัพย์ที่ล็อกไว้ในระบบ (TVL) หดตัวลงถึง 88% เหลือราว 8.2 ล้านดอลลาร์ (ราว 274 ล้านบาท) จากจุดสูงสุด 71 ล้านดอลลาร์ (ราว 2,371 ล้านบาท) เมื่อกลางปี 2567 ตามข้อมูลจาก DefiLlama

 

🔑 กลไกแอบขโมยกุญแจแบบเงียบเชียบ

 

เวอร์ชัน 1.20.21 ของแพ็กเกจ @injectivelabs/sdk-ts ถูกดัดแปลงผ่านบัญชี GitHub ของนักพัฒนาในโครงการที่ถูกแฮกเกอร์เข้าควบคุม นอกจากนี้เวอร์ชันอันตรายยังถูกผูก (Pin) เข้ากับแพ็กเกจอื่นอีก 17 รายการภายใต้ชื่อ Injective Labs บน npm ซึ่ง Socket เตือนว่าทำให้ "ผู้ใช้ที่อาจไม่ได้ติดตั้ง SDK (ชุดเครื่องมือพัฒนาซอฟต์แวร์) โดยตรงก็มีความเสี่ยงไปด้วย"

 

Socket อธิบายว่า "เวอร์ชันอันตรายนี้เกาะเกี่ยว (Hook) เข้ากับฟังก์ชันสร้างกุญแจกระเป๋าเงิน บันทึก Private Key และ Mnemonic แล้วส่งข้อมูลออกไปผ่านระบบ Telemetry ปลอม"

 

กล่าวคือ โค้ดอันตรายจะแฝงตัวอยู่ในฟังก์ชันปกติที่ใช้สร้างกุญแจกระเป๋าเงิน เมื่อใดก็ตามที่แอปของนักพัฒนาเรียกใช้ฟังก์ชันเหล่านี้ มันจะแอบคัดลอก Seed Phrase หรือ Private Key แล้วเข้ารหัสส่งไปยังเว็บแอดเดรสที่ปลอมแปลงให้ดูเหมือนเซิร์ฟเวอร์ทางการของเครือข่าย Injective ทำให้ตรวจจับได้ยาก

 

Socket ย้ำว่า "กุญแจหรือ Mnemonic ใดๆ ที่ผ่านแพ็กเกจที่ได้รับผลกระทบ ควรถือว่าถูกเจาะแล้วทั้งหมด" และแม้นักพัฒนาเจ้าของบัญชีที่ถูกแฮกจะตรวจพบความผิดปกติได้อย่างรวดเร็ว แต่มัลแวร์ก็ถูกดาวน์โหลดไปแล้วมากกว่า 300 ครั้ง และ "ตัวแคมเปญโจมตีเองยังไม่ถูกควบคุมได้ทั้งหมด"

 

ด้าน เอริก เฉิน (Eric Chen) CEO ของ Injective กล่าวว่า "ปัญหาได้รับการแก้ไขเรียบร้อยแล้ว และเวอร์ชันที่ได้รับผลกระทบบน npm ถูก Deprecated (ยกเลิกการใช้งาน) แล้ว" พร้อมยืนยันว่าเงินบนเครือข่ายไม่ตกอยู่ในความเสี่ยง ขณะที่ Socket ไม่ได้ระบุว่ามีเงินถูกขโมยจากเหตุการณ์นี้หรือไม่

 

💸 การเจาะกระเป๋าเงิน — ภัยที่สร้างความเสียหายสูงสุดของปีนี้

 

Security Alliance (SEAL) กลุ่มพันธมิตรด้านความปลอดภัยคริปโต ระบุในรายงานภัยคุกคามไตรมาส 2 ว่าผู้โจมตีหันมาใช้แพลตฟอร์มที่ถูกกฎหมายอย่าง GitHub, npm และ Google ในการส่งมัลแวร์มากขึ้นเรื่อยๆ โดยในบางกรณี ระบบที่ถูกเจาะยังถูกใช้ผลักดันโค้ดอันตรายเข้าสู่คลังโค้ด GitHub ของบริษัทเหยื่อโดยตรง เปลี่ยนการเจาะครั้งเดียวให้กลายเป็นช่องทางกระจายมัลแวร์สู่เหยื่อรายถัดไป

 

SEAL ยังเตือนว่าตัวมัลแวร์เองก็พัฒนาให้ครอบคลุมยิ่งขึ้น รองรับหลายระบบปฏิบัติการ รวมถึงแคมเปญที่พุ่งเป้า macOS โดยเฉพาะที่เพิ่มจำนวนขึ้น ซึ่งผสานความสามารถของ Infostealer (มัลแวร์ขโมยข้อมูล), RAT (Remote Access Trojan — โทรจันควบคุมเครื่องระยะไกล) และ Backdoor (ช่องทางลับเข้าระบบ) ไว้ในแพ็กเกจเดียว

 

เหตุการณ์ลักษณะคล้ายกันเคยเกิดขึ้นมาแล้วหลายครั้งในปีนี้ ทั้งการโจมตี Supply Chain ที่กระทบแพ็กเกจ npm ของ Axios เมื่อเดือนมีนาคม 2569 แคมเปญมัลแวร์ชื่อ TrapDoor ที่ถูกค้นพบในเดือนพฤษภาคม 2569 ซึ่งพุ่งเป้านักพัฒนาสายคริปโต, DeFi, AI และความปลอดภัย รวมถึงกรณีที่ GitHub เองรายงานเมื่อวันที่ 20 พฤษภาคม 2569 ว่าพบการเข้าถึงคลังโค้ดภายในโดยไม่ได้รับอนุญาต หลังอุปกรณ์ของพนักงานถูกเจาะ

 

ขณะเดียวกัน บริษัทความปลอดภัยบล็อกเชน CertiK รายงานเมื่อวันจันทร์ที่ผ่านมาว่า การเจาะกระเป๋าเงิน (Wallet Compromise) เป็นรูปแบบการโจมตีที่สร้างความเสียหายสูงสุดในครึ่งแรกของปี 2569 ด้วยมูลค่าความเสียหายรวม 444 ล้านดอลลาร์ (ราว 14,825 ล้านบาท) จากทั้งหมด 33 เหตุการณ์

 

📎 ข่าวที่เกี่ยวข้องจาก Bitcoinaddict.com 
CertiK แฉ! เกาหลีเหนืออัปเกรดขโมยคริปโตสู่ระบบ "อุตสาหกรรม" กวาดเงิน 60% ความเสียหายทั่วโลก
อัปเดตคดีดิ่งเหว 88%! Humanity เผยชนวนเหตุ "แล็ปท็อปพนักงานโดนแฮก" ทำคีย์หลุด
โปรโตคอล GMX ถูกแฮก! สูญเงินกว่า 40 ล้านดอลลาร์จากช่องโหว่บน GLP Pool
ที่มา: Cointelegraph / ภาพ welivesecurity.com

 

✍️ ความเห็นบรรณาธิการ เหตุการณ์นี้ตอกย้ำแนวโน้มที่น่ากังวลของวงการคริปโตในปี 2569 นั่นคือสมรภูมิความปลอดภัยได้ย้ายจาก Smart Contract ไปสู่ "ห่วงโซ่อุปทานซอฟต์แวร์" และ "การจัดการกุญแจ" อย่างชัดเจน แฮกเกอร์ไม่จำเป็นต้องหาช่องโหว่ในโค้ดบล็อกเชนอีกต่อไป เพียงเจาะบัญชีนักพัฒนาเพียงคนเดียว ก็สามารถกระจายมัลแวร์ผ่านเครื่องมือที่นักพัฒนาหลายหมื่นรายเชื่อถือได้ทันที สอดคล้องกับข้อมูลของ CertiK ที่ชี้ว่าการเจาะกระเป๋าเงินกลายเป็นรูปแบบการโจมตีที่แพงที่สุดของปีนี้ไปแล้ว

 

คำเตือนความเสี่ยง: การลงทุนในสินทรัพย์ดิจิทัลมีความเสี่ยงสูง ผู้ลงทุนอาจสูญเสียเงินลงทุนทั้งหมด โปรดศึกษาข้อมูลอย่างรอบคอบก่อนตัดสินใจลงทุน บทความนี้เป็นการรายงานข่าวเท่านั้น ไม่ใช่คำแนะนำในการลงทุน

🏷️ SEO Tags Injective, npm, Supply Chain Attack, การโจมตีห่วงโซ่อุปทาน, Private Key, Seed Phrase, กระเป๋าคริปโต, แฮกเกอร์, ความปลอดภัยคริปโต, Crypto Security, Socket, CertiK, SDK, มัลแวร์, Malware, DeFi, Wallet Compromise, ข่าวคริปโต

— รายงานโดยทีมข่าว Bitcoinaddict.com