ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

เอ็กซ์เทนชัน Chrome ปลอม — Urban VPN, Smart Sidebar, Chat AI แอบขโมยบทสนทนา ChatGPT, Claude, Gemini จากผู้ใช้ 115 ล้านคน

Malicious Chrome extensions steal ChatGPT Claude Gemini conversations
นักวิจัย G Data เปิดเผยว่าเอ็กซ์เทนชัน Chrome 3 ตัว ได้แก่ Urban VPN, Smart Sidebar และ Chat AI แอบดักข้อมูลบทสนทนาจาก ChatGPT, Claude, Copilot, Gemini และ DeepSeek โดยส่งข้อมูลออกแบบ Base64 ไปยังเซิร์ฟเวอร์ภายนอก เอ็กซ์เทนชัน AI บน Chrome มีผู้ใช้รวมกว่า 115 ล้านคนทั่วโลก ณ มีนาคม 2569 ผู้ใช้แพลตฟอร์ม AI ควรถอนเอ็กซ์เทนชันที่ไม่จำเป็นออกและตรวจสอบ permission ที่มอบให้ทันที

Anthropic แผนที่ภัยคุกคาม AI — พร้อมข่าวสั้น: Grandoreiro Banking Trojan, Let's Encrypt Post-Quantum, ATG Systems ถูกโจมตี

Anthropic AI threat intelligence MITRE ATT&CK cybersecurity news
Anthropic เปิดเผยการวิเคราะห์นาน 1 ปีที่จับคู่ปฏิบัติการไซเบอร์ที่ใช้ AI กับ MITRE ATT&CK framework พบการเพิ่มขึ้นของการใช้ LLM สำหรับ lateral movement และ credential dumping นอกจากนี้ยังมี Grandoreiro banking trojan โจมตีธนาคารในโปรตุเกสและละตินอเมริกา Let’s Encrypt เตรียม Merkle Tree Certificates รองรับ post-quantum และ CISA เตือนระบบ ATG ที่เชื่อมต่ออินเทอร์เน็ตกำลังถูกโจมตีจริง

Microsoft Taxonomy v2.0 — Red Team พบ Agentic AI ถูกโจมตีแบบ Zero-Click ข้ามกลไก Human-in-the-Loop ได้ทั้งสาย

Agentic AI red team zero-click human-in-the-loop bypass Microsoft
Microsoft เผยผลการทดสอบ red team นาน 12 เดือนต่อระบบ Agentic AI พบว่าผู้โจมตีสามารถสร้างสายโจมตีแบบ Zero-Click ที่ข้ามกลไก human-in-the-loop ได้โดยไม่ต้องมีการโต้ตอบจากมนุษย์เลย ส่งผลให้มีการอัปเดต Taxonomy of Failure Modes ใน Agentic AI เป็นเวอร์ชัน 2.0 เพิ่มหมวดความล้มเหลวใหม่ 7 ประเภท รวมถึง MCP abuse, goal hijacking และ inter-agent trust escalation องค์กรที่ใช้ระบบ AI agent ควรเร่งประเมินความเสี่ยงและใช้มาตรการป้องกัน

VerdantBamboo APT จีน — ซ่อนตัวในเครือข่ายองค์กรนาน 18 เดือน ด้วยมัลแวร์ BRICKSTORM เจาะ Firewall, NAS และ Appliance

VerdantBamboo APT BRICKSTORM malware firewall NAS
กลุ่ม APT สายจีน VerdantBamboo หรือ WARP PANDA ใช้มัลแวร์ BRICKSTORM ที่เขียนด้วย Golang แฝงตัวในเครือข่ายองค์กรเป้าหมายนานกว่า 18 เดือนโดยไม่ถูกตรวจพบ บุกรุกผ่านเครื่อง Egnyte Storage Sync appliance และ MSP ก่อนฝาก backdoor บน pfSense และ Synology NAS นักวิจัย Volexity ยังพบมัลแวร์ใหม่ 2 ตัว คือ PLENET และ AGENTPSD องค์กรที่ใช้อุปกรณ์ edge และ NAS ที่ไม่สามารถติดตั้ง EDR ควรเร่งตรวจสอบด่วน

CVE-2026-3300 — ช่องโหว่ RCE Critical (CVSS 9.8) ใน WordPress Plugin Everest Forms Pro ถูกโจมตีแล้วกว่า 29,000 ครั้ง

WordPress Everest Forms Pro CVE-2026-3300 RCE exploit
ช่องโหว่ CVE-2026-3300 (CVSS 9.8) ใน Everest Forms Pro plugin สำหรับ WordPress ซึ่งมีผู้ติดตั้งกว่า 4,000 ราย ถูกโจมตีจริงตั้งแต่วันที่ 13 เมษายน 2569 รวมกว่า 29,300 ครั้ง ช่องโหว่เกิดจากฟังก์ชัน process_filter() ที่นำค่าจากผู้ใช้ไปรันใน eval() โดยไม่กรองอักขระพิเศษ แฮ็กเกอร์สามารถสร้างบัญชี admin ปลอมและฝัง web shell ได้ ผู้ดูแลเว็บไซต์ WordPress ที่ใช้ plugin นี้ควรอัปเดตเป็นเวอร์ชัน 1.9.13 โดยด่วน

GHOST STADIUM — มิจฉาชีพจีนปล่อยเว็บ FIFA ปลอมกว่า 300 โดเมน มัลแวร์ธนาคารซ่อนในแอปสตรีม ก่อน World Cup 2026 เปิดฉาก

FIFA World Cup 2026 scam phishing malware
นักวิจัยและ FBI เตือนแก๊งมิจฉาชีพออนไลน์ปล่อยเว็บ FIFA ปลอมกว่า 4,300 โดเมน โดยกลุ่ม GHOST STADIUM เลียนแบบระบบล็อกอินจริงของ FIFA เพื่อขโมยบัตรและบัญชีผู้ใช้งาน มัลแวร์ธนาคาร Massiv และ Perseus ซ่อนอยู่ในแอปสตรีมผิดกฎหมาย ผู้ที่วางแผนดูการแข่งขันหรือซื้อบัตรออนไลน์ควรระวังเป็นพิเศษ เนื่องจากแก๊งมิจฉาชีพกำลังเดินหน้าปฏิบัติการช่วง 11 มิถุนายน ถึง 19 กรกฎาคม 2569

แฮ็กเกอร์ปลอมเว็บ Ghidra, dnSpy, SpiderFoot แจกมัลแวร์ — ใช้ TDS คัดกรองเหยื่อ เล็งนักวิจัยความปลอดภัย

Hackers impersonate Ghidra dnSpy and SpiderFoot to spread malware via fake download sites
บริษัท Check Point Research เปิดโปงแคมเปญขนาดใหญ่ที่สร้างเว็บปลอมเลียนแบบเครื่องมือความปลอดภัยยอดนิยมอย่าง Ghidra, dnSpy และ SpiderFoot เพื่อหลอกแจกมัลแวร์ เมื่อคลิกดาวน์โหลด ผู้ใช้จะถูกส่งผ่าน Traffic Distribution System (TDS) ที่คัดกรองตามตำแหน่ง เบราว์เซอร์ VPN และว่าเป็นนักวิจัยหรือไม่ พบเว็บปลอมกว่า 100 แห่ง โหลดสคริปต์จาก CloudFront เป้าหมายคือนักวิจัยความปลอดภัยโดยตรง payload มี 3 ตระกูล: RemusStealer, AnimateClipper (สลับ wallet คริปโต) และ SessionGate (loader ต้านการวิเคราะห์)

Phantom Gyp — เวิร์ม Miasma สายพันธุ์ใหม่ใช้ไฟล์ binding.gyp เจาะ 57 แพ็กเกจ npm ใน 2 ชั่วโมง

binding.gyp Phantom Gyp supply chain attack compromises dozens of npm packages
บริษัท StepSecurity เปิดเผยเวิร์มแพร่ตัวเองสายพันธุ์ใหม่ของ Miasma ตั้งชื่อเทคนิคว่า Phantom Gyp ที่ใช้ไฟล์ตั้งค่าเล็ก ๆ ชื่อ binding.gyp (157 ไบต์) กระตุ้นโค้ดอันตรายตอน npm install แทนการซ่อนใน package.json เลี่ยง preinstall/postinstall ที่ scanner ส่วนใหญ่ตรวจ เจาะ 57 แพ็กเกจ 286+ เวอร์ชันใน 2 ชั่วโมงเมื่อ 3 มิ.ย. เป้าใหญ่สุดคือ @vapi-ai/server-sdk (408,000 ดาวน์โหลด/เดือน) ขโมย credential คลาวด์ใน CI/CD ฝัง backdoor ใน Claude Code/Cursor/Gemini ทิ้งข้อความเย้ย Shai-Hulud

แคมเปญขโมยบัตรเครดิต Magecart ใช้ Stripe เก็บข้อมูลที่ขโมย — ซ่อนใน api.stripe.com และ Google Tag Manager

Credit card theft campaign abuses Stripe to host stolen payment info
บริษัท Sansec เปิดเผยแคมเปญ Magecart ใหม่ที่ใช้โครงสร้าง API ของ Stripe เก็บทั้ง payload ขโมยบัตรและข้อมูลที่ขโมยจากหน้า checkout โดยอาศัยโดเมน googletagmanager.com และ api.stripe.com ที่ร้านค้าออนไลน์ไว้ใจโดยปริยาย ทำให้เลี่ยง CSP และ network filter ได้ โค้ดอันตรายฝังใน GTM container ทำงานเมื่อถึงหน้า checkout ของ Magento/Adobe Commerce ดักเลขบัตร วันหมดอายุ CVV ชื่อ ที่อยู่ แล้วเก็บข้อมูลที่ขโมยเป็น customer record ปลอมในบัญชี Stripe ของผู้โจมตี มีอีก variant ใช้ Google Firestore

IronWorm — มัลแวร์ Rust เจาะ 36 แพ็กเกจ npm ขโมยความลับนักพัฒนา ซ่อนด้วย eBPF rootkit สื่อสารผ่าน Tor

New IronWorm malware hits 36 packages in npm supply-chain attack
บริษัท JFrog เปิดเผยมัลแวร์ใหม่ IronWorm ที่เจาะ 36 แพ็กเกจบน npm เป็น infostealer เขียนด้วย Rust ซ่อนหลัง eBPF kernel rootkit และสื่อสารกับผู้ควบคุมผ่านเครือข่าย Tor มุ่งเป้า environment variable 86 ตัวและไฟล์ credential 20 ไฟล์ที่อาจมี OpenAI, AWS, Anthropic, npm token, SSH key และ wallet Exodus มันแพร่ตัวเองด้วย npm token ที่ขโมยมา เริ่มจากบัญชี asteroiddao ที่ถูกเจาะ โดย Ox Security ระบุว่าหยุดได้เร็วก่อนลามไปแพ็กเกจยอดนิยม