แพ็กเกจ PyPI อันตรายปลอมเป็น Pyrogram ฝังแบ็กดอร์ยึดเซิร์ฟเวอร์บอต Telegram — ปฏิบัติการ Navy Ghost

นักวิจัยจากบริษัท Checkmarx เปิดโปงแคมเปญ Operation Navy Ghost ที่พุ่งเป้านักพัฒนา Python ซึ่งสร้างบอต Telegram โดยปล่อยแพ็กเกจ Pyrogram ปลอมอย่างน้อย 8 ตัวบน PyPI ตั้งแต่พฤศจิกายน 2025 ถึงมิถุนายน 2026 แพ็กเกจฝังไฟล์แบ็กดอร์ชื่อ secret.py ที่เปิดให้ผู้โจมตีรันโค้ด Python หรือคำสั่งเชลล์บนเซิร์ฟเวอร์เหยื่อ อ่านไฟล์ใด ๆ ดึงข้อมูลลับ ฐานข้อมูล และแชท Telegram แบ็กดอร์ทำงานเฉพาะบนบัญชีบอตที่มักรันในระบบ production นักพัฒนาที่ติดตั้งควรลบและหมุนเวียนข้อมูลรับรองทันที


