GitHub ได้เปิดตัวฟีเจอร์ความปลอดภัยใหม่สำหรับ npm เพื่อเสริมสร้างความปลอดภัยของซอฟต์แวร์ซัพพลายเชน โดยมอบอำนาจให้ผู้ดูแลโปรเจกต์ (Maintainers) สามารถตรวจสอบและอนุมัติเวอร์ชันที่จะปล่อยตัวอย่างเป็นทางการก่อนที่แพ็กเกจเหล่านั้นจะถูกเผยแพร่สู่สาธารณะและพร้อมสำหรับการติดตั้ง

ฟีเจอร์ดังกล่าวมีชื่อว่า ‘Staged Publishing’ ซึ่งปัจจุบันเปิดให้ใช้งานแล้วสำหรับทุกคนบนแพลตฟอร์ม npm จุดเด่นของระบบนี้คือการบังคับใช้การยืนยันตัวตนแบบสองปัจจัย (2FA) โดยจะต้องมีผู้ดูแลระบบที่เป็นมนุษย์ผ่านการท้าทายยืนยันตัวตน 2FA เพื่ออนุมัติการเผยแพร่แพ็กเกจเสียก่อน ซึ่งจะช่วยลดความเสี่ยงจากการโจมตีที่ใช้บัญชีที่ถูกบุกรุกหรือระบบอัตโนมัติในการอัปโหลดโค้ดที่ถูกแทรกซ้ำ (Malicious Code) ลงไป

การนำ Staged Publishing มาใช้ถือเป็นก้าวสำคัญในการปกป้องระบบนิเวศของ npm จากภัยคุกคามทางไซเบอร์ โดยเฉพาะการโจมตีทางซัพพลายเชน (Supply Chain Attacks) ที่มักพยายามแฝงมัลแวร์เข้ามาในไลบรารียอดนิยม การทำงานร่วมกับ 2FA นี้ไม่เพียงแต่ช่วยเพิ่มชั้นความปลอดภัยให้กับนักพัฒนาเท่านั้น แต่ยังช่วยสร้างความมั่นใจให้กับผู้ใช้งานปลายทางที่ดาวน์โหลดแพ็กเกจเหล่านั้นมาใช้งานในโปรเจกต์ของตนอีกด้วย

คำศัพท์เทคนิคที่น่าสนใจ

• Supply Chain Attack – การโจมตีที่ผู้ไม่ประสงค์ดีแทรกซึมมัลแวร์หรือโค้ดที่เป็นอันตรายลงในช่องทางการกระจายซอฟต์แวร์หรือไลบรารีกลาง เพื่อให้กระจายไปยังผู้ใช้ปลายทางโดยไม่รู้ตัว
• Staged Publishing – กระบวนการเผยแพร่ซอฟต์แวร์แบบเป็นขั้นตอน ที่แพ็กเกจจะไม่ถูกปล่อยสู่สาธารณะทันที แต่ต้องผ่านการอนุมัติจากผู้ดูแลก่อนเพื่อยืนยันความปลอดภัย
• 2FA (Two-Factor Authentication) – การยืนยันตัวตนแบบสองปัจจัย ซึ่งจำเป็นต้องใช้ข้อมูลสองอย่าง เช่น รหัสผ่านและรหัสยืนยันจากแอปพลิเคชันบนมือถือ เพื่อเพิ่มความปลอดภัยในการเข้าถึงบัญชี

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/npm-adds-2fa-gated-publishing-and.html