นักวิจัยด้านความมั่นคงปลอดภัยทางไซเบอร์ได้ค้นพบแพ็กเกจ NuGet ที่เป็นมัลแวร์ ซึ่งอ้างว่าเป็นซอฟต์แวร์ดีเวลลอปเมนต์คิต (SDK) สำหรับภาษา C# ของ Sicoob ซึ่งเป็นระบบสหกรณ์การเงินที่ใหญ่ที่สุดแห่งหนึ่งของบราซิล โดยแพ็กเกจดังกล่าวถูกสร้างขึ้นมาเพื่อลอบขโมย Client ID และใบรับรองดิจิทัล PFX ที่ใช้ในการยืนยันตัวตน

จากการวิเคราะห์ของทีม Socket พบว่าแพ็กเกจ “Sicoob.Sdk” ในเวอร์ชัน 2.0.0 ถึง 2.0.4 ถูกฝังคำสั่งที่ทำงานเพื่อส่งออกข้อมูลที่ละเอียดอ่อนออกไปยังเซิร์ฟเวอร์ของผู้โจมตี โดยเฉพาะใบรับรอง PFX ที่นักพัฒนามักใช้ในกระบวนการทำงานร่วมกับระบบ API ของธนาคาร ซึ่งหากข้อมูลเหล่านี้รั่วไหล ผู้ไม่ประสงค์ดีจะสามารถนำไปใช้ในการปลอมแปลงตัวตนเข้าถึงระบบได้

เหตุการณ์นี้เกิดขึ้นคู่ขนานกับการค้นพบมัลแวร์ในแพ็กเกจ npm ที่มีเป้าหมายไปที่การขโมยความลับ (Secrets) บนสภาพแวดล้อมคลาวด์ ซึ่งสะท้อนให้เห็นถึงแนวโน้มที่ผู้โจมตีหันมาใช้กลยุทธ์ Supply Chain Attack ผ่าน Package Repository ยอดนิยมอย่าง NuGet และ npm มากขึ้น โดยหลอกให้นักพัฒนาซอฟต์แวร์ดาวน์โหลดและติดตั้งโค้ดที่ถูก污染ไปใช้งานในโปรเจกต์จริงโดยไม่ตระหนัก

คำศัพท์เทคนิคที่น่าสนใจ

• NuGet – ระบบจัดการแพ็กเกจสำหรับภาษาโปรแกรม .NET และ C# ที่ใช้ในการเพิ่มไลบรารีเข้าสู่โปรเจกต์
• PFX Certificate – ไฟล์ใบรับรองดิจิทัลแบบถอดรหัสได้ (PKCS#12) ที่บรรจุทั้งกุญแจสาธารณะและกุญแจส่วนตัว ใช้สำหรับยืนยันตัวตนและเข้ารหัสข้อมูล
• npm – ระบบจัดการแพ็กเกจเริ่มต้นสำหรับภาษา JavaScript (Node.js) ที่นักพัฒนาใช้กันอย่างแพร่หลาย
• Supply Chain Attack – การโจมตีทางไซเบอร์ที่ไม่ได้โจมตีระบบเป้าหมายโดยตรง แต่ไปทำลายหรือแทรกซึมมัลแวร์ในช่องทางหรือซอฟต์แวร์ที่เป้าหมายใช้อยู่แทน

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/malicious-sicoob-nuget-steals-banking.html