ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

6 ข่าว

T3MP3ST เฟรมเวิร์กโอเพนซอร์สแปลง AI Coding Agent ให้เป็นนักล่าช่องโหว่ 0-Day อัตโนมัติ ด้วยชุดเครื่องมือ 35 ตัว

T3MP3ST open-source framework turning AI coding agents into autonomous 0-day bug hunters
เฟรมเวิร์กความปลอดภัยโอเพนซอร์สตัวใหม่ชื่อ T3MP3ST เปลี่ยน AI coding agent อย่าง Claude Code, OpenAI Codex และ Hermes ให้เป็นเครื่องมือ red-teaming อัตโนมัติ โดยไม่ต้องใช้ API key ใหม่หรือโครงสร้างพื้นฐานคลาวด์เพิ่ม พัฒนาโดยนักวิจัย elder-plinius ทำหน้าที่เป็นชั้นประสานงานหลาย agent ผ่าน kill chain จากลาดตระเวนสู่การเจาะและรายงาน อ้างคะแนน 90.1% บนชุดทดสอบ XBEN และระบุช่องโหว่ CVE จริงปี 2026 ได้ 8 จาก 10 ถึงระดับไฟล์ บรรทัด และการจัดประเภท CWE สะท้อนว่าเครื่องมือโจมตีอัตโนมัติเข้าถึงง่ายขึ้น

Alibaba เตรียมแบน Claude Code ในองค์กร อ้างพบความเสี่ยง 'แบ็กดอร์' ตรวจจับเครือข่ายจีน

claude code ai alibaba anthropic ban claude code over alleged embedded backdoor risks claude code
มีรายงานว่า Alibaba เตรียมแบน Claude Code ของ Anthropic ในสภาพแวดล้อมทำงานภายในตั้งแต่ 10 กรกฎาคม 2569 อ้างความเสี่ยงแบ็กดอร์ที่ฝังอยู่ ต้นเรื่องมาจากโพสต์ Reddit ที่อ้างว่า reverse-engineer พบ Claude Code ตั้งแต่เวอร์ชัน 2.1.91 แอบเช็ก proxy และไทม์โซนเทียบกับรายชื่อองค์กรจีน ทีม Claude Code ระบุว่ากลไกนี้ป้องกันการ distillation และการใช้งานมิชอบ และจะถูกถอดออกในเวอร์ชันถัดไป ท่ามกลางความตึงเครียดที่เพิ่มขึ้นระหว่างสองบริษัท

นักวิจัยสาธิตการโจมตี Claude Code ผ่านรีโพซิทอรีที่ดูไม่มีพิษภัย ยึดเครื่องนักพัฒนา

New Claude Code attack using harmless-looking repositories to hijack developer machines
ทีมวิจัย 0Din ของ Mozilla สาธิตการโจมตีที่ซ่อน prompt ทางอ้อมในรีโพซิทอรีที่ดูปกติ เมื่อ Claude Code รันคำสั่งติดตั้ง จะเกิด reverse shell บนเครื่องนักพัฒนา จุดอันตรายคือรีโพไม่มีโค้ดหรือคำสั่งอันตรายตรง ๆ การโจมตีอาศัย error ที่จงใจให้เกิดตอนติดตั้ง แล้ว Claude Code อ่าน error และรันคำสั่งแก้ไขเอง ซึ่งดึง payload ที่เข้ารหัส base64 จาก DNS TXT record มารัน ทำให้ลายเซ็น reverse shell ไม่ปรากฏบนดิสก์หรือเครือข่าย เปิดทางขโมย credential, API key และฝัง backdoor

ตัวติดตั้ง Claude Code ปลอมบน Google Sites — ใช้ ClickFix + Steganography รันมัลแวร์ในหน่วยความจำ ขโมย credential

Fake Claude Code installer via Google Sites delivers credential-stealing malware
บริษัท ANY.RUN เปิดเผยแคมเปญ ClickFix ที่ใช้หน้าปลอมเลียนแบบ Claude Code และ OpenAI Codex โฮสต์บน Google Sites ที่น่าเชื่อถือ หลอกให้ผู้ใช้รันคำสั่ง mshta เพื่อ ‘ติดตั้ง’ จากนั้น PowerShell หลายขั้นจะทำงานในหน่วยความจำ ดึง payload ที่ซ่อนในรูปด้วย steganography แล้วรัน shellcode โดยไม่แตะดิสก์ ขโมยรหัสผ่านเบราว์เซอร์ อีเมล และข้อมูล wallet คริปโต เป้าหมายหลักคือนักพัฒนาที่คุ้นเคยกับการติดตั้งผ่าน command line จึงทำตามคำสั่งโดยไม่ลังเล

เว็บปลอม Anthropic แพร่ Infostealer แบบ Fileless ใส่ผู้ใช้ Claude Code — ใช้ ClickFix และ MP3/HTA Polyglot หลบ EDR

Fake Anthropic sites delivering fileless infostealer to Claude Code users via ClickFix
Cyderes เปิดโปงแคมเปญขโมย credential ที่ใช้เว็บปลอม Anthropic หลอกผู้ใช้ Claude Code มือใหม่ เริ่มจาก SEO poisoning พาเหยื่อไปหน้าปลอม แล้วใช้กลลวง ClickFix ให้รันคำสั่ง mshta.exe ดึงไฟล์ MP3/HTA polyglot ขนาด 6.7 MB การโจมตีรันในหน่วยความจำล้วน ไม่เขียนไฟล์ลงดิสก์ ใช้ PowerShell 32-bit และ AMSI bypass หลบ EDR สุดท้ายฝัง .NET infostealer ขโมย credential จากเบราว์เซอร์ส่งไปเซิร์ฟเวอร์รัสเซีย Anthropic เองไม่ได้ถูกเจาะ

เว็บปลอม Gemini CLI และ Claude Code แพร่ Infostealer ผ่าน SEO Poisoning — ขโมย Session ของ Slack, Teams, Zoom และอีกหลายแพลตฟอร์ม

Fake Gemini CLI and Claude Code sites spread infostealers via SEO poisoning
นักวิจัยจาก EclecticIQ เปิดเผยแคมเปญที่สร้างเว็บไซต์ปลอมของ Google Gemini CLI และ Anthropic Claude Code แล้วใช้ SEO poisoning ดันให้ขึ้นอันดับแรกในผลค้นหา เมื่อเหยื่อรัน PowerShell command ที่แสดงบนหน้าเว็บปลอม จะดาวน์โหลด infostealer ที่ทำงานในหน่วยความจำ ขโมย session cookies ของ Slack, Teams, Zoom, Discord และข้อมูลเบราว์เซอร์