Glassworm វាយប្រហារកញ្ចប់ React Native ដ៏ពេញនិយមជាមួយនឹងមេរោគ npm ដែលលួចព័ត៌មានសម្ងាត់

ការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់ដែលមានការសម្របសម្រួលមួយបានវាយប្រហារសហគមន៍អ្នកអភិវឌ្ឍន៍នៅថ្ងៃទី 16 ខែមីនា ឆ្នាំ 2026 នៅពេលដែលភ្នាក់ងារគំរាមកំហែងម្នាក់ដែលគេស្គាល់ថាជា Glassworm បានលួចយកកញ្ចប់ React Native npm ចំនួនពីរដែលប្រើប្រាស់យ៉ាងទូលំទូលាយ ដោយប្រែក្លាយវាទៅជាកម្មវិធីលួចអត្តសញ្ញាណសម្ងាត់ និងរូបិយប័ណ្ណគ្រីបតូដោយស្ងៀមស្ងាត់។

កញ្ចប់ដែលរងផលប៉ះពាល់ — react-native-country-select@0.3.91 និង react-native-international-phone-number@0.11.8 — ត្រូវបានបោះពុម្ពផ្សាយក្នុងរយៈពេលប៉ុន្មាននាទីពីគ្នាទៅវិញទៅមកដោយអ្នកបោះពុម្ពផ្សាយដូចគ្នាគឺ AstrOOnauta ហើយរួមគ្នាមានការទាញយកជាង 134,887 ដងក្នុងខែមុនការវាយប្រហារ។

កញ្ចប់ទាំងពីរដោះស្រាយកិច្ចការ UI ចល័តដូចជាការបញ្ចូលលេខទូរស័ព្ទ និងការជ្រើសរើសប្រទេស ដែលធ្វើឱ្យពួកវាក្លាយជាឧបករណ៍ដែលគួរឱ្យទុកចិត្តនៅទូទាំងគម្រោងអ្នកអភិវឌ្ឍន៍ជាច្រើន។

ការវាយប្រហារនេះមិនតម្រូវឱ្យមានសកម្មភាពពិសេសពីគោលដៅរបស់វាទេ។ អ្នកអភិវឌ្ឍន៍ អ្នករត់ CI ឬភ្នាក់ងារសាងសង់ណាមួយដែលដំណើរការពាក្យបញ្ជាដំឡើង npm ស្តង់ដារគឺគ្រប់គ្រាន់ដើម្បីបង្កឱ្យមានមេរោគ។

ការចេញផ្សាយព្យាបាទទាំងពីរបានណែនាំទំពក់ដំឡើងជាមុនថ្មីមួយដែលដំណើរការឯកសារ JavaScript ដែលលាក់បាំងយ៉ាងខ្លាំងហៅថា install.js មុនពេលកញ្ចប់បញ្ចប់ការដំឡើងនៅលើម៉ាស៊ីន។

ការរចនានេះបានធ្វើឱ្យការឆ្លងមេរោគស្ទើរតែមើលមិនឃើញ ដោយសារអ្នកអភិវឌ្ឍន៍មិនមានហេតុផលដើម្បីសង្ស័យថាការអាប់ដេតកញ្ចប់ធម្មតាកំពុងដាក់ពង្រាយបន្ទុក Windows ពហុដំណាក់កាលដោយផ្ទាល់ទៅកាន់ម៉ាស៊ីនរបស់ពួកគេនោះទេ។

អ្នកស្រាវជ្រាវ Aikido បានកំណត់អត្តសញ្ញាណកញ្ចប់ទាំងពីរដែលមានទ្វារខាងក្រោយ ហើយបានតាមដានខ្សែសង្វាក់ប្រតិបត្តិពេញលេញដោយធ្វើតាមជំហានដូចគ្នាដែលមេរោគធ្វើ ដោយសង្គ្រោះ និងឌិគ្រីបបន្ទុកដំណាក់កាលទីពីរ និងដំណាក់កាលទីបីដោយមិនចាំបាច់ប្រតិបត្តិវា។

ការវិភាគរបស់ពួកគេបានបញ្ជាក់ថាឯកសារផ្ទុកគឺដូចគ្នាបេះបិទនៅទូទាំងកញ្ចប់ទាំងពីរ ដោយចែករំលែកហាស SHA-256 ដូចគ្នា។

ការផ្លាស់ប្តូរកំណែក៏ស្អាតផងដែរ - ឥរិយាបថព្យាបាទត្រូវបានណែនាំតែតាមរយៈឯកសារ install.js ថ្មី និងធាតុដំឡើងជាមុនដែលត្រូវគ្នានៅក្នុង package.json ដែលបង្ហាញពីការកែប្រែដោយចេតនា និងគោលដៅជាជាងកំហុសក្នុងការបង្កើត។

ទំហំនៃការបង្ហាញសក្តានុពលគឺធ្ងន់ធ្ងរ។ នៅក្នុងសប្តាហ៍នៃការវាយប្រហារតែមួយ កញ្ចប់ទាំងពីរបានរួមបញ្ចូលគ្នាសម្រាប់ការទាញយកចំនួន 29,763 និង 134,887 ក្នុងរយៈពេលមួយខែមុន។

កំណែស្អាតភ្លាមៗមុនពេលចេញផ្សាយព្យាបាទ — @0.3.9 និង @0.11.7 — មិនមានទំពក់ព្យាបាទទេ ហើយត្រូវបានបោះពុម្ពផ្សាយត្រឹមតែបីថ្ងៃមុននេះ នៅថ្ងៃទី 13 ខែមីនា ឆ្នាំ 2026។

អ្នកអភិវឌ្ឍន៍ដែលបង្កើតកម្មវិធីទូរស័ព្ទដែលមានមុខងារបញ្ចូលលេខទូរស័ព្ទ ឬជ្រើសរើសប្រទេស ប្រឈមនឹងហានិភ័យដោយផ្ទាល់ ប៉ុន្តែគម្រោងណាមួយដែលទាញយកកញ្ចប់ទាំងនេះជាការពឹងផ្អែកដោយប្រយោល ប្រឈមមុខនឹងគ្រោះថ្នាក់ដូចគ្នា។

ការប្រតិបត្តិពហុដំណាក់កាល៖ របៀបដែលការវាយប្រហារបានលាតត្រដាង

ខ្សែសង្វាក់នៃការឆ្លងមេរោគត្រូវបានដាក់ជាស្រទាប់ដោយប្រុងប្រយ័ត្ន ដោយប្រើដំណាក់កាលច្រើន និងសេវាកម្មភាគីទីបីស្របច្បាប់ ដើម្បីលាក់បាំង។

នៅពេលដែល install.js ត្រូវបានប្រតិបត្តិនៅលើម៉ាស៊ីន Windows ដំបូងវាបានស្កេនប្រព័ន្ធសម្រាប់សញ្ញាសម្គាល់ភាសារុស្ស៊ី — រួមទាំងអថេរដែលកំណត់ទៅ ru_RU, ru-RU ឬរុស្ស៊ី — ហើយក៏បានពិនិត្យមើលអុហ្វសិតតំបន់ពេលវេលាដែលភ្ជាប់ទៅនឹងរុស្ស៊ីផងដែរ។

ប្រសិនបើសញ្ញាទាំងនោះមានវត្តមាន មេរោគបានឈប់ដោយមិនចាត់វិធានការណាមួយឡើយ ដែលជាយុទ្ធសាស្ត្រដែលឃើញជាប់លាប់នៅក្នុងមេរោគព្រហ្មទណ្ឌដែលជាប់ទាក់ទងនឹងអ្នកគំរាមកំហែងដែលនិយាយភាសារុស្ស៊ី។

ប្រសិនបើការត្រួតពិនិត្យទីតាំងត្រូវបានលុបចោល កម្មវិធីដំឡើងបានសាកសួរគណនី blockchain Solana ដោយប្រើវិធីសាស្ត្រ RPC getSignaturesForAddress ដើម្បីទាញយក URL ដែលបានអ៊ិនកូដ base64 ដែលលាក់នៅក្នុងអនុស្សរណៈប្រតិបត្តិការ។

ការប្រើប្រាស់គណនី blockchain សាធារណៈជាការបញ្ជូនបន្តបានធ្វើឱ្យអាសយដ្ឋានដំណាក់កាលទីពីរពិបាករារាំងតាមរយៈការច្រោះដែន ឬបណ្តាញធម្មតា។

ស្គ្រីបដំណាក់កាលទីពីរដែលបានត្រឡប់មកវិញបន្ទាប់មកបានផ្គត់ផ្គង់កូនសោឌិគ្រីបដើម្បីដោះសោបន្ទុកដំណាក់កាលទីបី - កម្មវិធីលួចដែលផ្តោតលើ Windows ទាំងស្រុង។

ដំណាក់កាលទីបីនោះបានដំឡើងភាពស្ថិតស្ថេរតាមរយៈ Windows Task Scheduler និងកូនសោចុះបញ្ជី Run បន្ទាប់មកបានប្រើតំណភ្ជាប់ Google Calendar ជាការបញ្ជូនបន្តបន្ថែមមុនពេលទាញយកសមាសធាតុបន្ថែមពីម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។

បន្ទុកទិន្នន័យចុងក្រោយបានទាញយកទិន្នន័យកាបូបពី MetaMask, Exodus, Atomic, Guarda, Coinomi, Trust Wallet និង OKX Wallet ខណៈពេលដែលក៏ប្រមូលបានថូខឹន npm ដែលបានរក្សាទុក និងព័ត៌មានសម្ងាត់ GitHub តាមរយៈពាក្យបញ្ជាព័ត៌មានសម្ងាត់ដើម។

អ្នកអភិវឌ្ឍន៍គួរតែត្រួតពិនិត្យឯកសារចាក់សោសម្រាប់ react-native-country-select@0.3.91 ឬ react-native-international-phone-number@0.11.8 ជាបន្ទាន់ ហើយចាត់ទុកម៉ាស៊ីនណាមួយដែលបានដំឡើងកំណែណាមួយថាមានការលួចចូល។

បង្វិលថូខឹន npm ទាំងអស់ ព័ត៌មានសម្ងាត់ GitHub និងកូនសោកាបូបរូបិយប័ណ្ណគ្រីបតូដែលអាចចូលប្រើបាននៅលើប្រព័ន្ធដែលរងផលប៉ះពាល់។

ពិនិត្យមើលកំណត់ហេតុបណ្តាញចេញសម្រាប់ការតភ្ជាប់ទៅ 45[.]32[.]150[.]251 និង 217[.]69[.]3[.]152។ ការត្រួតពិនិត្យស្គ្រីបវដ្តជីវិតកញ្ចប់ និងការសម្គាល់ទំពក់ដំឡើងជាមុនដែលមិននឹកស្មានដល់នៅក្នុងបរិយាកាសសាងសង់កាត់បន្ថយការប៉ះពាល់នឹងការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់ស្រដៀងគ្នា។