ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

27 ข่าว

ระบบเตือนภัยฉุกเฉินบราซิลถูกแฮ็ก ส่งข้อความเตือนปลอมเข้ามือถือทั่วประเทศ — ต้นเหตุจากรหัสผ่านที่ไม่เปลี่ยนนาน 10 ปี

Suspected cyberattack sends fake emergency alert to phones across Brazil
ระบบเตือนภัยฉุกเฉินของบราซิลถูกปิดชั่วคราวหลังถูกสงสัยว่าโดนแฮ็ก ส่งข้อความเตือนปลอมคำว่า misantropi4 เข้ามือถือประชาชนหลายภูมิภาคในเช้าวันเสาร์ ข้อความแพร่จากรัฐ Parana ไปถึง Sao Paulo และ Rio de Janeiro ภายในไม่กี่นาที สาเหตุมาจากพนักงานรัฐติดมัลแวร์ infostealer ตั้งแต่ปี 2016 และไม่เคยเปลี่ยนรหัสผ่านนานกว่า 10 ปี อีกทั้งระบบยังไม่มี VPN ไม่มี MFA และ CAPTCHA ที่ถามคำถามเดิมตลอด

DPAPISnoop เครื่องมือใหม่ถอดรหัส CREDHIST ของ Windows — กู้คืนรหัสผ่านเก่าทั้งหมดแบบออฟไลน์

DPAPISnoop tool extracting CREDHIST hashes from Windows credentials
เครื่องมือโอเพนซอร์ส DPAPISnoop ได้รับการอัปเดตให้สามารถสกัดข้อมูลจากไฟล์ CREDHIST ของ Windows ซึ่งเก็บประวัติรหัสผ่านเก่าไว้เป็นลูกโซ่ แล้วแปลงเป็นแฮชที่ถอดรหัสออฟไลน์ได้ด้วย Hashcat รองรับทั้ง 3DES/HMAC-SHA1 และ AES-256/SHA-512 ช่วยให้ผู้ทดสอบเจาะระบบวิเคราะห์แพทเทิร์นรหัสผ่านและยกระดับสิทธิ์ได้อย่างมีประสิทธิภาพ

Velvet Ant แฮ็กเกอร์จีนฝัง Backdoor ใน PAM และ OpenSSH บน Linux ซ่อนตัวเกือบ 10 ปี — ขโมย Credential และสั่งงานจากระบบล็อกอินที่เชื่อถือ

Linux backdoor in PAM and OpenSSH by Velvet Ant
บริษัท Sygnia เปิดปฏิบัติการ Operation Highland พบกลุ่ม Velvet Ant ที่เชื่อมโยงจีนแก้ไขโมดูล PAM และ OpenSSH บนเซิร์ฟเวอร์ Linux เพื่อขโมย credential และเปิดช่องทางเข้าถึงลับตั้งแต่ปี 2016. ผู้โจมตีสร้าง backdoor ถึง 9 เวอร์ชัน ซ่อนในระบบล็อกอินที่ผู้ดูแลไม่เคยตรวจสอบ. ก่อนหน้านี้กลุ่มเดียวกันเคยฝังตัวในอุปกรณ์ F5 BIG-IP และ Cisco NX-OS. เทคนิคนี้ทำให้การรีเซ็ตรหัสผ่านไม่ช่วยอะไร เพราะตัวตรวจสอบ credential ถูกควบคุมโดยผู้โจมตี.

Miasma Worm เจาะบัญชี GitHub Red Hat — ปนเปื้อน 32 แพ็กเกจ npm ดาวน์โหลด 117,000 ครั้ง/สัปดาห์ ขโมย AWS, Azure, GCP Token

Miasma malware Red Hat npm packages GitHub account supply chain attack
แฮ็กเกอร์เจาะบัญชี GitHub ของพนักงาน Red Hat และใช้ OIDC token ปล่อยมัลแวร์ Miasma เข้าสู่ 32 แพ็กเกจ npm ใน namespace @redhat-cloud-services ซึ่งมียอดดาวน์โหลดสูงถึง 117,000 ครั้งต่อสัปดาห์ มัลแวร์เป็น worm แพร่ตัวเองโดยขโมย cloud token ของ AWS, Azure, GCP รวมถึง API key ของ Claude และ Gemini นักพัฒนาที่ใช้แพ็กเกจเหล่านี้ต้องตรวจสอบ lockfile และ rotate credentials ด่วน

IronWorm — มัลแวร์ Rust เจาะ 36 แพ็กเกจ npm ขโมยความลับนักพัฒนา ซ่อนด้วย eBPF rootkit สื่อสารผ่าน Tor

New IronWorm malware hits 36 packages in npm supply-chain attack
บริษัท JFrog เปิดเผยมัลแวร์ใหม่ IronWorm ที่เจาะ 36 แพ็กเกจบน npm เป็น infostealer เขียนด้วย Rust ซ่อนหลัง eBPF kernel rootkit และสื่อสารกับผู้ควบคุมผ่านเครือข่าย Tor มุ่งเป้า environment variable 86 ตัวและไฟล์ credential 20 ไฟล์ที่อาจมี OpenAI, AWS, Anthropic, npm token, SSH key และ wallet Exodus มันแพร่ตัวเองด้วย npm token ที่ขโมยมา เริ่มจากบัญชี asteroiddao ที่ถูกเจาะ โดย Ox Security ระบุว่าหยุดได้เร็วก่อนลามไปแพ็กเกจยอดนิยม

Phantom Gyp — เวิร์ม Miasma สายพันธุ์ใหม่ใช้ไฟล์ binding.gyp เจาะ 57 แพ็กเกจ npm ใน 2 ชั่วโมง

binding.gyp Phantom Gyp supply chain attack compromises dozens of npm packages
บริษัท StepSecurity เปิดเผยเวิร์มแพร่ตัวเองสายพันธุ์ใหม่ของ Miasma ตั้งชื่อเทคนิคว่า Phantom Gyp ที่ใช้ไฟล์ตั้งค่าเล็ก ๆ ชื่อ binding.gyp (157 ไบต์) กระตุ้นโค้ดอันตรายตอน npm install แทนการซ่อนใน package.json เลี่ยง preinstall/postinstall ที่ scanner ส่วนใหญ่ตรวจ เจาะ 57 แพ็กเกจ 286+ เวอร์ชันใน 2 ชั่วโมงเมื่อ 3 มิ.ย. เป้าใหญ่สุดคือ @vapi-ai/server-sdk (408,000 ดาวน์โหลด/เดือน) ขโมย credential คลาวด์ใน CI/CD ฝัง backdoor ใน Claude Code/Cursor/Gemini ทิ้งข้อความเย้ย Shai-Hulud

ตัวติดตั้ง Claude Code ปลอมบน Google Sites — ใช้ ClickFix + Steganography รันมัลแวร์ในหน่วยความจำ ขโมย credential

Fake Claude Code installer via Google Sites delivers credential-stealing malware
บริษัท ANY.RUN เปิดเผยแคมเปญ ClickFix ที่ใช้หน้าปลอมเลียนแบบ Claude Code และ OpenAI Codex โฮสต์บน Google Sites ที่น่าเชื่อถือ หลอกให้ผู้ใช้รันคำสั่ง mshta เพื่อ ‘ติดตั้ง’ จากนั้น PowerShell หลายขั้นจะทำงานในหน่วยความจำ ดึง payload ที่ซ่อนในรูปด้วย steganography แล้วรัน shellcode โดยไม่แตะดิสก์ ขโมยรหัสผ่านเบราว์เซอร์ อีเมล และข้อมูล wallet คริปโต เป้าหมายหลักคือนักพัฒนาที่คุ้นเคยกับการติดตั้งผ่าน command line จึงทำตามคำสั่งโดยไม่ลังเล

แฮ็กเกอร์ใช้ประกาศลิขสิทธิ์ Chrome Web Store ปลอม หลอกนักพัฒนา extension ขโมยบัญชี Google

Hackers use fake Chrome Web Store copyright notices to steal Google credentials
บริษัท Malwarebytes เปิดเผยแคมเปญฟิชชิงใหม่ที่มุ่งเป้านักพัฒนา Chrome extension ด้วยประกาศลบเนื้อหาละเมิดลิขสิทธิ์ (DMCA) ปลอมที่ดูเหมือนข้อความทางการจาก Chrome Web Store หลอกให้กรอก credential Google บนหน้า sign-in ปลอม โดยให้เวลาเพียง 48 ชั่วโมงสร้างความเร่งด่วน หน้าปลอมมีเลขร้องเรียน นาฬิกานับถอยหลัง และดึงชื่อ/ไอคอน extension จริงมาแสดง โฮสต์บนโดเมน dmca-chrome-extensions[.]click หากบัญชีถูกยึด ผู้โจมตีสามารถ push อัปเดตอันตรายไปยังผู้ใช้หลายพันคน

Miasma — Supply Chain Attack โจมตี npm ของ Red Hat ขโมย credentials จาก CI/CD pipeline

Miasma supply chain attack compromises Red Hat npm packages with credential-stealing worm
แคมเปญ supply chain attack ชื่อ Miasma โจมตี npm packages ในกลุ่ม @redhat-cloud-services จำนวน 32 packages กว่า 96 เวอร์ชัน ซึ่งมียอดดาวน์โหลดรวมกันกว่า 117,000 ครั้งต่อสัปดาห์ มัลแวร์เป็น variant ใหม่ของ Mini Shai-Hulud worm ที่แพร่กระจายตัวเองโดยขโมย credentials จาก developer machine และ CI/CD pipeline ผู้โจมตีเจาะเข้าระบบผ่าน GitHub Actions OIDC token ของพนักงาน Red Hat ทำให้ commit ที่อันตรายปรากฏเป็น verified และ signed เสมือนถูกกฎหมาย

TrapDoor — 34 แพ็กเกจอันตรายข้าม 3 อีโคซิสเต็ม ขโมย Cloud Key, Wallet และ SSH พร้อมฝังคำสั่งหลอก AI Coding Tool

TrapDoor campaign uses 34 malicious packages to steal cloud keys wallets and SSH credentials
Socket.dev และ SlowMist เปิดเผยแคมเปญ TrapDoor ที่ฝังแพ็กเกจอันตราย 34 ตัว (รวม 384 เวอร์ชัน) ข้าม npm, PyPI และ Crates.io ขโมย AWS key, GitHub token, OpenAI API key, SSH key และไฟล์ wallet เพียงแค่ติดตั้งหรือ build ก็ทำงานทันที จุดเด่นคือเขียนคำสั่งซ่อนใน .cursorrules และ CLAUDE.md ด้วยอักขระ zero-width เพื่อหลอกให้เครื่องมือ AI อย่าง Cursor และ Claude Code รันคำสั่งอันตราย ส่งข้อมูลออกผ่าน GitHub Pages และ webhook.site ที่ firewall มักไว้ใจ