01/04/2026
Supply Chain Attack ครั้งใหญ่บน axios
เมื่อวันที่ 31 มีนาคม 2026, ได้มีการค้นพบผู้โจมตีสามารถยึดบัญชี npm ของ maintainer หลักของ axios คือ บัญชี jasonsaayman แล้วเปลี่ยนอีเมลของบัญชีไปเป็นอีเมล ProtonMail ของผู้โจมตี ([email protected]) จากนั้นใช้บัญชีดังกล่าวเผยแพร่ axios เวอร์ชันที่ถูกฝัง backdoor ไว้สองเวอร์ชันพร้อมกัน ได้แก่
v1.14.1 (tagged latest)
v0.30.4 (tagged legacy)
ซึ่งทาง Google Threat Intelligence Group (GTIG) ระบุว่าการโจมตีนี้มาจากกลุ่ม UNC1069 ซึ่งเป็นกลุ่มที่เชื่อมโยงกับเกาหลีเหนือและมีแรงจูงใจทางการเงินเป็นหลัก โดยกลุ่มนี้เคลื่อนไหวมาตั้งแต่ปี 2018
axios คืออะไร? ทำไมถึงสำคัญ?
axios เป็น HTTP client library แบบ promise-based สำหรับ JavaScript ที่ช่วยให้นักพัฒนาเขียนโค้ดสำหรับส่ง HTTP request ได้ง่ายขึ้น ทำงานได้ทั้งบน browser และ Node.js โดย axios ถือว่าเป็นหนึ่งใน library ที่ถูกใช้มากที่สุดใน ecosystem ของ JavaScript โดยมียอด download ประมาณ 100 ล้านครั้งต่อสัปดาห์ โดยใครที่ใช้ React, Vue, Angular หรือแม้แต่ backend Node.js ก็มีโอกาสสูงที่จะใช้งาน axios อยู่ทั้งสิ้นไม่ทางตรงก็ทางอ้อม
Timeline การโจมตี
เอาจริงๆ เคสนี้น่าสนใจมากครับ โดยการโจมตีถูกเตรียมการไว้ล่วงหน้าอย่างมีขั้นตอน ซึ่งกล่าวโดยสรุปก็คือ
ขั้นตอนที่ 1 — Staging (30 มี.ค. 2026): เวลา 05:57 UTC มีการเผยแพร่ [email protected] เวอร์ชันที่ไม่มีการแฝง backdoor หรืออะไรออกมาก่อน เพื่อสร้างประวัติบน npm registry แล้วในเวลา 23:59 UTC จึงเผยแพร่ v4.2.1 ที่ฝัง payload ที่อันตรายไว้อีกที
ขั้นตอนที่ 2 — Publishing (31 มี.ค. 2026): ใช้บัญชี jasonsaayman ที่ถูกยึด เผยแพร่ axios ทั้งสองเวอร์ชันที่เพิ่ม plain-crypto-js เข้ามาเป็น dependency ภายในเวลา 39 นาที
ขั้นตอนที่ 3 — Infection: เมื่อ developer หรือ CI system รัน npm install เข้ากับ axios เวอร์ชันที่ถูกฝัง npm จะติดตั้ง [email protected] เข้ามาโดยอัตโนมัติ (เพราะเป็น dependency) แล้วรัน postinstall hook คือ setup.js อีกที
ขั้นตอนที่ 4 — Dropper Ex*****on: setup.js ใช้ obfuscation สองชั้น ได้แก่ Reversed Base64 encoding และ XOR cipher ด้วย key "OrDeR_7077" จากนั้นติดต่อไปยัง C2 server ที่ sfrclak[.]com:8000 เพื่อดาวน์โหลด payload ตาม OS อีกทีหนึ่ง
ขั้นตอนที่ 5 — RAT Deployment & Self-Clean: payload ที่ถูกดาวน์โหลดทำหน้าที่เป็น RAT ที่จะส่ง beacon กลับไปหา C2 ทุกๆ 60 วินาที พร้อมส่งข้อมูลระบบและรอรับคำสั่ง โดยตัว dropper จะลบตัวเองและแทนที่ package.json ด้วยเวอร์ชันที่ไม่มีการฝังอะไรไว้ ทำให้ตรวจสอบภายหลังได้ยากมากนั่นเอง
ทั้งนี้ RAT ทั้งสามเวอร์ชัน (macOS, Windows, Linux) มีความสามารถเหมือนกัน ได้แก่ remote shell ex*****on, binary injection, directory browsing, process listing และ system reconnaissance ซึ่งทั้งหมดหลังจากที่ถูกติดตั้งไปแล้วจะแนบเนียนอย่างมาก
ผลกระทบที่เกิดขึ้น
🔴 แม้เวอร์ชัน malicious จะถูกลบภายในไม่กี่ชั่วโมง แต่เนื่องจาก axios มีอยู่ในเกือบทุก environment พบว่ามี 3% ของ environment ที่ได้รับผลกระทบมีการรัน payload จริงดังกล่าว
🔴 Huntress พบอย่างน้อย 135 endpoint ที่ติดต่อกลับไปยัง C2 ของผู้โจมตีในช่วง exposure window โดยเครื่องแรกที่ติดเชื้อใช้เวลาเพียง 89 วินาทีหลังจาก [email protected] ถูกเผยแพร่
🔴 ลักษณะของการโจมตีที่เน้น system reconnaissance, file enumeration และ process monitoring บ่งชี้ว่าเป็นปฏิบัติการด้าน espionage หรือ APT มากกว่า cybercrime ทั่วไป เนื่องจากไม่พบ cryptocurrency mining หรือ ransomware ใดๆเลย
🔴 CTO ของ Mandiant เตือนว่า secrets ที่ถูกขโมยจากการโจมตี supply chain ในช่วงสองสัปดาห์ที่ผ่านมาจะนำไปสู่ supply chain attacks เพิ่มเติม, SaaS compromises, ransomware และ crypto heists ในอีกหลายวันถึงหลายเดือนข้างหน้า
วิธีตรวจสอบและแก้ไข
✅ ตรวจสอบเวอร์ชัน: เราสามารถรันคำสั่ง
npm list axios
ในทุก project เพื่อดูว่าใช้เวอร์ชัน 1.14.1 หรือ 0.30.4 หรือไม่ และตรวจหา plain-crypto-js ใน lockfile เพิ่มเติมเพื่อเพิ่มความชัวร์ว่าไม่ได้ติดตั้งจริงๆ
✅ Downgrade ทันที: หากถูกติดตั้งให้ดำเนินการ downgrade กลับไปใช้เวอร์ชันที่ปลอดภัย คือ 1.14.0 (สาย 1.x) หรือ 0.30.3 (สาย 0.x) แทน
✅ ตรวจสอบ network: ตรวจหา outbound connections ไปยัง sfrclak.com:8000 หรือ IP 142.11.206.73 ใน firewall/proxy logs เพื่อดูว่ามีเครื่องใดในองค์กรถูกติดตั้งและไม่ทราบหรือไม่ (เพราะอย่างที่แจ้งว่า axios ถูกใช้โดย application มากมาย ดังนั้นอาจจะมีการติดตั้ง axios version ที่ได้รับผลกระทบโดยไม่รู้ตัวก็เป็นไปได้เช่นเดียวกัน)
✅ Rotate secrets ทั้งหมด: หากมีการติดตั้งเวอร์ชันที่เป็นอันตราย ให้ถือว่า credentials ทั้งหมดถูก compromise ทั้ง API keys, SSH keys, cloud credentials, npm tokens, GitHub tokens โดยต้อง revoke แล้ว reissue ใหม่
✅ Rebuild environment: อย่าพยายาม clean ระบบที่ถูก compromise ให้ rebuild จาก snapshot หรือ base image ที่สะอาดแทนจะดีกว่า
✅ ตรวจ CI/CD pipelines: ตรวจสอบ build logs ในช่วงเวลา 31 มี.ค. 2026 UTC ว่า pipeline ไหนดึงเวอร์ชันที่ถูกฝังไปใช้หรือไม่
✅ Detection: มองหา User-Agent string ของ IE8/Windows XP ที่ผิดปกติบน network (เป็น hardcoded identifier ของ RAT ทุก platform)
IOCs สำคัญ
— C2 Domain: sfrclak[.]com
— C2 IP: 142.11.206.73
— C2 Port: 8000
— Malicious packages: [email protected], [email protected], [email protected]
— Attacker npm account: nrwise ([email protected])
— Compromised email: [email protected]
สรุป
นี่คือหนึ่งในการโจมตี supply chain ที่ซับซ้อนที่สุดที่เคยเกิดขึ้นกับ npm package ระดับ top-10 มีการเตรียมการล่วงหน้า 18 ชั่วโมง สร้าง payload สำหรับ 3 OS และลบร่องรอยตัวเองอัตโนมัติ ถ้าใช้ axios อยู่ ตรวจสอบเวอร์ชันให้เร็วที่สุด ซึ่งเป็นเหตุที่มาต่อเนื่องหลังจากเหตุ Supply Chain Attack ของ Trivy (Team P*P)
Reference Links:
[1] https://github.com/advisories/GHSA-fw8c-xr5c-95f9
[2] https://cloud.google.com/blog/topics/threat-intelligence/north-korea-threat-actor-targets-axios-npm-package/
[3] https://www.wiz.io/blog/axios-npm-compromised-in-supply-chain-attack
[4] https://snyk.io/blog/axios-npm-package-compromised-supply-chain-attack-delivers-cross-platform/
[5] https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan
[6] https://www.elastic.co/security-labs/axios-one-rat-to-rule-them-all
[7] https://www.huntress.com/blog/supply-chain-compromise-axios-npm-package
[8] https://thehackernews.com/2026/03/axios-supply-chain-attack-pushes-cross.html
[9] https://www.helpnetsecurity.com/2026/03/31/axios-npm-backdoored-supply-chain-attack/
[10] https://www.bleepingcomputer.com/news/security/hackers-compromise-axios-npm-package-to-drop-cross-platform-malware/
[11] https://www.malwarebytes.com/blog/news/2026/03/axios-supply-chain-attack-chops-away-at-npm-trust
[12] https://socradar.io/blog/axios-npm-supply-chain-attack-2026-ciso-guide/
[13] https://www.aikido.dev/blog/axios-npm-compromised-maintainer-hijacked-rat
