GitHub ได้เปิดตัวฟีเจอร์ความปลอดภัยใหม่ล่าสุดสำหรับแพลตฟอร์ม npm เพื่อเสริมสร้างความปลอดภัยของซอฟต์แวร์ซัพพลายเชน โดยมอบอำนาจให้ผู้ดูแลโปรเจกต์ (Maintainers) สามารถตรวจสอบและอนุมัติเวอร์ชันของแพ็กเกจได้อย่างชัดเจนก่อนที่จะปล่อยให้แพ็กเกจนั้นเปิดให้สาธารณะสามารถติดตั้งได้ ซึ่งการควบคุมนี้จะช่วยลดความเสี่ยงในการถูกแทรกซึ้งโค้ดที่เป็นอันตรายจากผู้ไม่ประสงค์ดี

ฟีเจอร์ดังกล่าวมีชื่อว่า “Staged Publishing” ซึ่งปัจจุบันได้เปิดให้ใช้งานอย่างเป็นทางการ (Generally Available) บน npm แล้ว ข้อสำคัญที่สุดของระบบนี้คือการบังคับใช้การยืนยันตัวตนแบบสองปัจจัย (2FA) โดยต้องให้ผู้ดูแลแพ็กเกจซึ่งเป็นมนุษย์ผ่านการท้าทาย (Challenge) ด้วย 2FA เพื่ออนุมัติการเผยแพร่แต่ละครั้ง ซึ่งจะช่วยป้องกันปัญหาการโจมตีโดยการขโมยบัญชีหรือกุญแจ API ที่อาจถูกใช้เผยแพร่มัลแวร์โดยอัตโนมัติ

การนำ Staged Publishing มาใช้งานถือเป็นก้าวสำคัญในการต่อสู้กับภัยคุกคามทางไซเบอร์ที่มักเกิดขึ้นกับระบบนิเวศ Open Source ที่มีความเสี่ยงสูงจากการโจมตี Supply Chain Attacks การทำงานร่วมกันระหว่าง GitHub และ npm นี้ ไม่เพียงแต่ช่วยปกป้องนักพัฒนาที่ดาวน์โหลดแพ็กเกจเท่านั้น แต่ยังช่วยปกป้องชื่อเสียงและความน่าเชื่อถือของผู้ดูแลโปรเจกต์ด้วย

คำศัพท์เทคนิคที่น่าสนใจ

• Supply Chain Attack – การโจมตีซัพพลายเชน คือการแทรกซึ้งโค้ดที่เป็นอันตรายลงในซอฟต์แวร์หรือไลบรารีที่นักพัฒนานิยมใช้งาน เพื่อให้มัลแวร์แพร่กระจายไปยังผู้ใช้งานในวงกว้างโดยอัตโนมัติ
• Staged Publishing – กระบวนการเผยแพร่แบบเป็นขั้นตอน ซึ่งแบ่งการปล่อยแพ็กเกจออกเป็นหลายขั้นตอนเพื่อให้ผู้ดูแลระบบได้ตรวจสอบและอนุมัติก่อนที่จะเปิดให้บุคคลภายนอกสามารถดาวน์โหลดหรือติดตั้งได้
• 2FA (Two-Factor Authentication) – การยืนยันตัวตนแบบสองปัจจัย ซึ่งเป็นมาตรการรักษาความปลอดภัยที่กำหนดให้ผู้ใช้งานต้องแสดงหลักฐาน 2 ประการ เช่น รหัสผ่านและรหัส OTP จากแอปพลิเคชัน เพื่อยืนยันว่าตัวเองคือผู้ใช้งานจริง

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/npm-adds-2fa-gated-publishing-and.html