ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

7 ข่าว

นักวิจัยสาธิตการโจมตี Claude Code ผ่านรีโพซิทอรีที่ดูไม่มีพิษภัย ยึดเครื่องนักพัฒนา

New Claude Code attack using harmless-looking repositories to hijack developer machines
ทีมวิจัย 0Din ของ Mozilla สาธิตการโจมตีที่ซ่อน prompt ทางอ้อมในรีโพซิทอรีที่ดูปกติ เมื่อ Claude Code รันคำสั่งติดตั้ง จะเกิด reverse shell บนเครื่องนักพัฒนา จุดอันตรายคือรีโพไม่มีโค้ดหรือคำสั่งอันตรายตรง ๆ การโจมตีอาศัย error ที่จงใจให้เกิดตอนติดตั้ง แล้ว Claude Code อ่าน error และรันคำสั่งแก้ไขเอง ซึ่งดึง payload ที่เข้ารหัส base64 จาก DNS TXT record มารัน ทำให้ลายเซ็น reverse shell ไม่ปรากฏบนดิสก์หรือเครือข่าย เปิดทางขโมย credential, API key และฝัง backdoor

Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา

Shai-Hulud payload steals GitHub npm cloud CI/CD and SSH credentials from developers
นักวิจัยจาก JFrog Security Research พบ Shai-Hulud payload ที่พก Hades malware กลับมาอีกระลอก ฝังในแพ็กเกจ npm ที่พุ่งเป้านักพัฒนาสาย cloud และ serverless ขยายไปยังระบบนิเวศ Leo/RStreams ของ AWS เมื่อติดตั้งแพ็กเกจ payload จะขโมย credential จาก GitHub, npm, คลาวด์, CI/CD และ SSH ส่งไปยัง repository ของผู้โจมตี แพ็กเกจที่กระทบมียอดดาวน์โหลดราว 45,000 ครั้งต่อเดือน ใช้ไฟล์ binding.gyp ซ่อนโค้ดหลบ scanner

แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub

North Korean hackers UNK_DeadDrop malware campaign targeting developers via VS Code
นักวิจัยจาก Proofpoint เปิดโปงแคมเปญ UNK_DeadDrop ที่เชื่อมโยงกับเกาหลีเหนือ โจมตีนักพัฒนาในเกือบ 100 องค์กรด้วยอีเมลฟิชชิงหลอกให้โคลน GitHub Repository อันตรายแล้วเปิดใน VS Code ซึ่งจะรันมัลแวร์อัตโนมัติทั้งบน Windows, macOS และ Linux พร้อมกันนี้ยังพบ VS Code Extension ที่เป็น Backdoor บน Marketplace อย่างเป็นทางการอีกด้วย

ทลาย GlassWorm — CrowdStrike ปิด C2 ทั้ง 4 ช่องพร้อมกัน หยุดมัลแวร์ Supply Chain ที่ซ่อน C2 ในบล็อกเชน Solana

GlassWorm malware supply chain takedown CrowdStrike disrupts C2 infrastructure Solana blockchain BitTorrent
CrowdStrike ร่วมกับ Google และ Shadowserver Foundation ปิด C2 infrastructure ทั้ง 4 ช่องของ GlassWorm พร้อมกัน มัลแวร์ตัวนี้โจมตี developer ผ่าน VS Code extension ปลอม, npm และ Python package เป็นเวลากว่าหนึ่งปี ปนเปื้อน GitHub repository กว่า 300 แห่งด้วย credential ที่ขโมยมา โดดเด่นด้วยการซ่อน C2 address ไว้บน Solana blockchain, BitTorrent DHT และ Google Calendar เพื่อต้านการถูก Takedown

npm เพิ่ม 2FA-Gated Publishing และ Install Source Controls — ป้องกัน Supply Chain Attack ด้วย Staged Publishing

npm adds 2FA-gated staged publishing and install source controls for supply chain security
GitHub เปิดตัว Staged Publishing บน npm ซึ่งบังคับให้ Maintainer ผ่านการยืนยัน 2FA ก่อนที่แพ็กเกจจะเผยแพร่สู่สาธารณะ พร้อมเพิ่ม Install Source Flag สามตัวใหม่เพื่อควบคุมแหล่งที่มาของ Package ที่ติดตั้ง มาตรการนี้รองรับทั้ง CI/CD Pipeline แบบ non-interactive และ Trusted Publishing ด้วย OIDC ตอบสนองต่อการโจมตี Supply Chain ที่พุ่งสูงขึ้นอย่างรวดเร็วในช่วงที่ผ่านมา

TrapDoor Supply Chain — มัลแวร์ฝังใน 34 แพ็กเกจบน npm, PyPI และ Crates.io ขโมย Crypto Wallet และ SSH Key ของ Developer

TrapDoor supply chain malware targets npm PyPI Crates.io developer packages
แคมเปญ TrapDoor ปล่อยมัลแวร์ใน 34 แพ็กเกจและกว่า 384 เวอร์ชันข้ามระบบนิเวศ npm, PyPI และ Crates.io เพื่อขโมย Crypto Wallet, SSH Key และข้อมูลรับรองตัวตนของ Developer โดยเฉพาะในชุมชน DeFi, Solana และ AI มัลแวร์ยังโจมตี AI Coding Assistant ผ่านการแก้ไขไฟล์ .cursorrules และ CLAUDE.md โดยฝังคำสั่งซ่อนด้วย Unicode พิเศษ บริษัท Socket ตรวจพบแคมเปญนี้ในเวลาเฉลี่ย 5 นาที 27 วินาทีหลังปล่อย

Nx Console 18.95.0 ถูกฝังมัลแวร์ขโมยข้อมูล — โจมตีนักพัฒนา VS Code กว่า 2.2 ล้านราย

Nx Console VS Code extension supply chain attack
ส่วนขยาย Nx Console เวอร์ชัน 18.95.0 บน VS Code Marketplace ถูกฝังมัลแวร์ขโมย Credential หลังจากเครื่องนักพัฒนาถูกเจาะและ GitHub Credentials รั่วไหล ผู้โจมตีใช้ Orphan Commit ซ่อน Payload ขนาด 498 KB ในที่เก็บโค้ดอย่างเป็นทางการ มัลแวร์ทำงานทันทีที่เปิด Workspace และขโมยข้อมูลผ่าน HTTPS, GitHub API และ DNS Tunneling