ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

20 ข่าว

แฮ็กเกอร์ฝังแบ็กดอร์ในแพ็กเกจ npm ของ Jscrambler — มัลแวร์ขโมยข้อมูลถูกดาวน์โหลดเกือบ 1,500 ครั้ง

malware infostealer backdoor npm the jscrambler
บริษัท Jscrambler เปิดเผยว่าผู้โจมตีเผยแพร่แพ็กเกจ npm เวอร์ชันอันตรายของบริษัท ครอบคลุมรุ่น 8.14, 8.16, 8.17 และ 8.20 โดยฝังมัลแวร์ขโมยข้อมูล (Infostealer) ที่ทำงานตอน preinstall hook แพ็กเกจนี้เปิดอยู่ราว 2 ชั่วโมงและถูกดาวน์โหลด 1,479 ครั้ง มัลแวร์ล้วงซอร์สโค้ด ข้อมูลรับรองนักพัฒนา คีย์คลาวด์ ค่าคอนฟิกเครื่องมือ AI และกระเป๋าคริปโต ต้นเหตุมาจากข้อมูลรับรองการเผยแพร่ npm ที่ถูกขโมย

Siggen แบ็กดอร์เจาะนักพัฒนา Windows — ฝังตัวในโปรเจกต์ Visual Studio ขโมยรหัสผ่านและกระเป๋าคริปโต

backdoor credential developer windows siggen backdoor hits windows developers via infected visual studio projects dr sig
นักวิจัยจาก Doctor Web เปิดเผยแบ็กดอร์ตัวใหม่ชื่อ Siggen (BackDoor.Siggen2.5906) ที่เจาะจงเป้าหมายไปที่นักพัฒนาซอฟต์แวร์ โดยแก้ไขโปรเจกต์ C++ และ C# เพื่อแพร่โค้ดอันตรายผ่านซอร์สโค้ดและแอปที่คอมไพล์แล้ว มัลแวร์ขโมยรหัสผ่าน คุกกี้เบราว์เซอร์ โทเคน Discord/Telegram และข้อมูลกระเป๋าคริปโต พร้อมติดตั้งโปรแกรมขุดเหรียญและเปิดรีโมตให้แฮ็กเกอร์ ซ่อนที่อยู่ C2 ไว้ในโปรไฟล์ Steam และไฟล์ GitHub สาธารณะ

ช็อตคัต Windows อันตรายใช้ PowerShell และ Node.js เปิดทางรันโค้ดระยะไกล ซ่อน C2 บนบล็อกเชน TON

malicious Windows LNK shortcut PowerShell Node.js backdoor TON blockchain C2
นักวิจัยจากบริษัท LevelBlue เปิดโปงแคมเปญที่ใช้ไฟล์ช็อตคัต (LNK) อันตรายบน Windows เปลี่ยนการดาวน์โหลดธรรมดาให้กลายเป็นช่องทางรันโค้ดระยะไกล เริ่มจากอีเมลสแปมธีมจองที่พักหลอกให้เปิด ZIP ที่ซ่อน LNK ปลอมเป็นรูปภาพ เมื่อคลิกจะรัน PowerShell ที่ติดตั้ง Node.js ของแท้มาใช้เป็นสภาพแวดล้อมรันแบ็กดอร์แบบ fileless ผู้โจมตีดึงที่อยู่เซิร์ฟเวอร์ควบคุมผ่าน smart contract บนบล็อกเชน TON ด้วยเทคนิค EtherHiding เพื่อเลี่ยงการบล็อก นักวิจัยพบตัวอย่างใหม่ทุกวันและเชื่อมโยงกว่า 400 ตัวอย่างเข้ากับเครื่องเดียวกัน

Microsoft แกะมัลแวร์ทำลายล้าง 'GigaWiper' — รวมไวเปอร์ล้างดิสก์ แรนซัมแวร์ปลอม และสปายแวร์ในตัวเดียว โยงกลุ่มอิหร่าน

Microsoft dissects GigaWiper Windows backdoor linked to Iran-nexus group
บริษัท Microsoft แกะมัลแวร์ทำลายล้างบน Windows ชื่อ GigaWiper ที่รวมเครื่องมือทำลายเก่า 3 ตัวไว้เป็นแพลตฟอร์มเดียวให้ผู้โจมตีเลือกสั่งได้ ทั้งล้างดิสก์ทั้งลูก เขียนทับไดรฟ์ Windows และแรนซัมแวร์ปลอมที่ไม่เคยเก็บกุญแจ นอกจากนี้ยังแอบดูจอ อัดหน้าจอ และเปิด VNC ซ่อน โดยปลอมตัวเป็น OneDrive และส่งข้อมูลผ่าน RabbitMQ/Redis/MinIO ไฟล์ชุดเดียวกันถูก Binary Defense เรียกว่า BLUERABBIT และโยงกับกลุ่มอิหร่าน CyberAv3ngers ที่เชื่อมโยงกับ IRGC

APT-C-20 (APT28) ซ่อนเชลล์โค้ดในภาพ PNG ปล่อยแบ็กดอร์ C# แบบไร้ไฟล์

apt28 apt malware backdoor fancy bear hackers hide shellcode
กลุ่มแฮ็กเกอร์ APT-C-20 หรือที่รู้จักในชื่อ APT28 (Fancy Bear) ซ่อนเชลล์โค้ดไว้ในไฟล์ภาพ PNG เพื่อปล่อยแบ็กดอร์ที่เขียนด้วยภาษา C# แบบไร้ไฟล์ (fileless) โดยเริ่มจากเอกสาร Word ที่ฝังมาโคร ปลอมเป็นไฟล์ด้านกลาโหมของรัฐบาลยุโรปตะวันออก อาศัยเทคนิค COM hijacking และ steganography ซ่อนโค้ด ทำให้แอนติไวรัสตรวจจับได้ยาก และสื่อสารกับผู้โจมตีผ่านบริการคลาวด์ Filen.io

CERT/CC เตือนพบแบ็กดอร์ผู้ดูแลระบบซ่อนในเฟิร์มแวร์เราเตอร์ Tenda — CVE-2026-11405 ยังไม่มีแพตช์

CERT/CC warns of hidden admin backdoor in Tenda router firmware
ศูนย์ CERT/CC เตือนพบแบ็กดอร์ยืนยันตัวตนที่ไม่มีการบันทึกในเฟิร์มแวร์เราเตอร์ของบริษัท Tenda ผู้ผลิตอุปกรณ์เครือข่ายจีน ช่องโหว่ CVE-2026-11405 เปิดให้ผู้โจมตีข้ามการตรวจรหัสผ่านและยึดหน้าจัดการเว็บระดับผู้ดูแลได้เต็มรูปแบบโดยไม่ต้องมีบัญชีที่ถูกต้อง ฟังก์ชัน login() ใน /bin/httpd จะดึงรหัสผ่านสำรอง sys.rzadmin.password มาเทียบแบบข้อความล้วน กระทบเฟิร์มแวร์หลายรุ่นทั้ง AC10, AC5, AC6, W15E และ FH1201 และยังไม่มีแพตช์

แคมเปญฟิชชิงปลอมใบแจ้งหนี้เปลี่ยน AnyDesk เป็นแบ็กดอร์ — Rare Werewolf จารกรรมอุตสาหกรรมการบิน ใช้ Scheduled Task ฝังตัวแล้วลบร่องรอย

phishing malware espionage ace anydesk anydesk phishing attack uses scheduled task persistence
นักวิจัยจาก Seqrite เปิดเผยแคมเปญฟิชชิงที่เปลี่ยนเครื่องมือรีโมตยอดนิยม AnyDesk ให้กลายเป็นแบ็กดอร์จารกรรมระยะยาว โจมตีองค์กรอุตสาหกรรมการบินและอวกาศในรัสเซีย ผู้โจมตีใช้อีเมลปลอมเป็นใบแจ้งหนี้แนบไฟล์ ZIP ใส่รหัสผ่านเลี่ยงการสแกน เมื่อเปิดจะติดตั้ง AnyDesk แบบไร้การควบคุมพร้อมรหัสผ่านที่ตั้งไว้ล่วงหน้า สร้าง scheduled task ปลอมเป็นงานอัปเดตเพื่อฝังตัว แล้วลบไฟล์และล็อกทั้งหมดเพื่อกลบร่องรอย พฤติกรรมเข้ากับกลุ่ม Rare Werewolf หรือ Librarian Ghouls

Alibaba เตรียมแบน Claude Code ในองค์กร อ้างพบความเสี่ยง 'แบ็กดอร์' ตรวจจับเครือข่ายจีน

claude code ai alibaba anthropic ban claude code over alleged embedded backdoor risks claude code
มีรายงานว่า Alibaba เตรียมแบน Claude Code ของ Anthropic ในสภาพแวดล้อมทำงานภายในตั้งแต่ 10 กรกฎาคม 2569 อ้างความเสี่ยงแบ็กดอร์ที่ฝังอยู่ ต้นเรื่องมาจากโพสต์ Reddit ที่อ้างว่า reverse-engineer พบ Claude Code ตั้งแต่เวอร์ชัน 2.1.91 แอบเช็ก proxy และไทม์โซนเทียบกับรายชื่อองค์กรจีน ทีม Claude Code ระบุว่ากลไกนี้ป้องกันการ distillation และการใช้งานมิชอบ และจะถูกถอดออกในเวอร์ชันถัดไป ท่ามกลางความตึงเครียดที่เพิ่มขึ้นระหว่างสองบริษัท

แพ็กเกจ PyPI อันตรายปลอมเป็น Pyrogram ฝังแบ็กดอร์ยึดเซิร์ฟเวอร์บอต Telegram — ปฏิบัติการ Navy Ghost

Malicious PyPI Pyrogram forks backdoor Telegram bot servers Operation Navy Ghost
นักวิจัยจากบริษัท Checkmarx เปิดโปงแคมเปญ Operation Navy Ghost ที่พุ่งเป้านักพัฒนา Python ซึ่งสร้างบอต Telegram โดยปล่อยแพ็กเกจ Pyrogram ปลอมอย่างน้อย 8 ตัวบน PyPI ตั้งแต่พฤศจิกายน 2025 ถึงมิถุนายน 2026 แพ็กเกจฝังไฟล์แบ็กดอร์ชื่อ secret.py ที่เปิดให้ผู้โจมตีรันโค้ด Python หรือคำสั่งเชลล์บนเซิร์ฟเวอร์เหยื่อ อ่านไฟล์ใด ๆ ดึงข้อมูลลับ ฐานข้อมูล และแชท Telegram แบ็กดอร์ทำงานเฉพาะบนบัญชีบอตที่มักรันในระบบ production นักพัฒนาที่ติดตั้งควรลบและหมุนเวียนข้อมูลรับรองทันที

Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน

Russia-linked Turla STOCKSTAY backdoor espionage Ukraine
กลุ่มภัยคุกคามที่เชื่อมโยงกับรัสเซีย Turla ขยายคลังเครื่องมือจารกรรมด้วยแบ็กดอร์ตัวใหม่ชื่อ STOCKSTAY โจมตีหน่วยงานรัฐและทหารในยูเครนตั้งแต่ปลายปี 2022 มัลแวร์เขียนด้วย .NET สื่อสารผ่าน WebSocket ที่เข้ารหัส ทำให้ตรวจจับยากในทราฟฟิกปกติ Turla ใช้โครงสร้างพื้นฐานของยูเครนที่ถูกยึด เช่น เว็บหน่วยงานรัฐและเซิร์ฟเวอร์บริษัทไอที เพื่อ stage และส่งเพย์โหลด นักวิจัย Google ระบุว่ามันมีความเชื่อมโยงกับชุดเครื่องมือ KAZUAR ของกลุ่มเดียวกัน