ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

80 ข่าว

Rokarolla มัลแวร์ Android ตัวใหม่ — ขโมย PIN, รหัส OTP และเงินในกระเป๋าคริปโต

Rokarolla Android banking trojan malware cryptocurrency theft
นักวิจัยจาก Zimperium พบมัลแวร์ Android banking trojan ตัวใหม่ชื่อ Rokarolla ที่เล็งเป้า 217 แอปธนาคารและคริปโต มี 137 คำสั่งควบคุมระยะไกล สามารถขโมย PIN หน้าจอล็อก ดักจับ SMS OTP สลับที่อยู่กระเป๋าคริปโตใน clipboard และปิด Google Play Protect ได้

แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub

North Korean hackers UNK_DeadDrop malware campaign targeting developers via VS Code
นักวิจัยจาก Proofpoint เปิดโปงแคมเปญ UNK_DeadDrop ที่เชื่อมโยงกับเกาหลีเหนือ โจมตีนักพัฒนาในเกือบ 100 องค์กรด้วยอีเมลฟิชชิงหลอกให้โคลน GitHub Repository อันตรายแล้วเปิดใน VS Code ซึ่งจะรันมัลแวร์อัตโนมัติทั้งบน Windows, macOS และ Linux พร้อมกันนี้ยังพบ VS Code Extension ที่เป็น Backdoor บน Marketplace อย่างเป็นทางการอีกด้วย

แฮ็กเกอร์จีน UNC6508 ฝังมัลแวร์ InfiniteRed ในเซิร์ฟเวอร์ REDCap — ขโมยงานวิจัยทางการแพทย์นานกว่า 1 ปีโดยไม่มีใครรู้

Chinese hackers deploy InfiniteRed malware on REDCap medical research servers
กลุ่มจารกรรมจีน UNC6508 โจมตีเซิร์ฟเวอร์ REDCap ของสถาบันวิจัยการแพทย์ในอเมริกาเหนือ ฝังมัลแวร์ InfiniteRed ที่ออกแบบมาเฉพาะสำหรับระบบ REDCap แฝงตัวอยู่นานกว่า 1 ปี ขโมย credential และใช้ฟีเจอร์ content compliance ส่งข้อมูลออกผ่านอีเมลอัตโนมัติ Google แจ้งเตือนหลายองค์กรในสหรัฐฯ และแคนาดาที่ได้รับผลกระทบ

OnyxC2 — มัลแวร์ขโมยข้อมูลแบบ MaaS ราคา 250 ดอลลาร์ต่อเดือน โจมตีแอปกว่า 210 ตัว

OnyxC2 malware-as-a-service stealer targeting over 210 applications including browsers and crypto wallets
OnyxC2 คือมัลแวร์ขโมยข้อมูลแบบ Malware-as-a-Service (MaaS) ที่วางขายในราคา 250 ดอลลาร์ต่อเดือน สามารถโจมตีแอปพลิเคชันกว่า 210 ตัว รวมถึงเบราว์เซอร์ ส่วนขยาย กระเป๋าคริปโต และเครื่องมือ 2FA. เขียนด้วย C++ ผสม assembly และ mutate ทุก build ทำให้หลบ AV ได้เกือบ 100% โดย VirusTotal ตรวจไม่พบทั้งสอง build ที่วิเคราะห์. มัลแวร์แพร่กระจายผ่านแพ็กเกจตัวติดตั้งปลอมที่ใช้เทคนิค DLL sideloading โหลด DLL อันตรายขนาดกว่า 120 MB. จากเครื่องเหยื่อเพียงเครื่องเดียว ผู้โจมตีสามารถขโมยรหัสผ่าน 55 รายการ คุกกี้ 4,717 รายการ และข้อมูลบัตรเครดิต.

แพ็กเกจ Arch Linux AUR กว่า 400 รายการถูกยึด — ฝัง Rust Credential Stealer และ eBPF Rootkit ขโมยข้อมูลผ่าน Tor

Arch Linux AUR packages hijacked credential stealer rootkit
ผู้โจมตียึดแพ็กเกจที่ถูกละทิ้งกว่า 400 รายการบน Arch User Repository (AUR) แล้วแก้ไข PKGBUILD ให้ดาวน์โหลดมัลแวร์ขโมยข้อมูลเขียนด้วย Rust พร้อม eBPF rootkit เพิ่มเติม มัลแวร์ขโมยข้อมูลเบราว์เซอร์ SSH key โทเคน GitHub/npm/Slack/Discord/Teams และข้อมูล Docker ส่งผ่าน Tor Sonatype ติดตามเป็น Sonatype-2026-003775 ความรุนแรง CVSS 8.7

มัลแวร์ SHEETCREEP ใช้ Google Sheets API เป็น C2 โจมตีองค์กรการทูต — เชื่อมโยงกลุ่ม APT36 พบเหยื่อ 91 ราย

SHEETCREEP RAT Google Sheets API C2 diplomatic espionage
บริษัท Securonix เปิดเผยแคมเปญจารกรรมที่ใช้มัลแวร์ SHEETCREEP ซึ่งเป็น C# RAT ขนาดเพียง 20 KB ใช้ Google Sheets API เป็นช่องทาง C2 เพื่อโจมตีองค์กรการทูต โดยหลอกล่อเหยื่อด้วยไฟล์ ISO ปลอมเป็นเอกสาร UAE-India Strategic Partnership Week พบเหยื่อ 91 รายจากการเข้าถึง spreadsheet C2 โดยตรง เชื่อมโยงกับกลุ่ม APT36 (Transparent Tribe) ที่มีแนวร่วมกับปากีสถาน

C0XMO บอตเน็ตสายพันธุ์ Gafgyt — เจาะ DD-WRT ผ่าน CVE-2021-27137 ลามข้ามสถาปัตยกรรม พร้อมฆ่ามัลแวร์คู่แข่ง

C0XMO botnet spreads via DD-WRT router flaw
Fortinet พบบอตเน็ตสายพันธุ์ใหม่ของ Gafgyt ชื่อ C0XMO มุ่งเป้าเฟิร์มแวร์เราเตอร์ DD-WRT และลามไปยังอุปกรณ์หลายสถาปัตยกรรมทั้ง ARM, MIPS, PowerPC, x86 มันแพร่ผ่านการเจาะ CVE-2021-27137 ช่องโหว่ buffer overflow ที่รันโค้ดได้โดยไม่ต้องยืนยันตัวตน รองรับการโจมตี DDoS ถึง 19 วิธี ใช้สแกนเนอร์ Python brute-force SSH/Telnet ฝังตัวด้วย cron ทุก 15 นาที และไล่ฆ่ามัลแวร์คู่แข่งกับเครื่องมือ red team บนเครื่องเหยื่อ

Miasma Worm เจาะ 73 รีโพ GitHub ของ Microsoft — กระทบ Azure, durabletask ฝังpayload ลวง AI Coding Tool ให้รันเอง

Miasma worm hits 73 Microsoft GitHub repositories
เวิร์ม Miasma ลามเข้าสู่รีโพ GitHub ของ Microsoft ถึง 73 รายการใน 4 องค์กร ทั้ง Azure, Azure-Samples, Microsoft และ MicrosoftDocs จน GitHub ต้องปิดการเข้าถึง จุดน่ากังวลคือการเจาะ durabletask ซ้ำที่เคยถูก TeamPCP เล่นงานเมื่อเดือนก่อน บ่งชี้ว่า credential อาจไม่เคยถูกกู้คืนเต็มที่ Miasma ยังฝัง payload 4.3MB ที่สั่งให้รันอัตโนมัติผ่าน Claude Code, Gemini CLI, Cursor และ VS Code เมื่อนักพัฒนาเปิดรีโพ สะท้อนช่องโหว่ของ trust model ในระบบโอเพนซอร์ส

GHOST STADIUM — มิจฉาชีพจีนปล่อยเว็บ FIFA ปลอมกว่า 300 โดเมน มัลแวร์ธนาคารซ่อนในแอปสตรีม ก่อน World Cup 2026 เปิดฉาก

FIFA World Cup 2026 scam phishing malware
นักวิจัยและ FBI เตือนแก๊งมิจฉาชีพออนไลน์ปล่อยเว็บ FIFA ปลอมกว่า 4,300 โดเมน โดยกลุ่ม GHOST STADIUM เลียนแบบระบบล็อกอินจริงของ FIFA เพื่อขโมยบัตรและบัญชีผู้ใช้งาน มัลแวร์ธนาคาร Massiv และ Perseus ซ่อนอยู่ในแอปสตรีมผิดกฎหมาย ผู้ที่วางแผนดูการแข่งขันหรือซื้อบัตรออนไลน์ควรระวังเป็นพิเศษ เนื่องจากแก๊งมิจฉาชีพกำลังเดินหน้าปฏิบัติการช่วง 11 มิถุนายน ถึง 19 กรกฎาคม 2569

Miasma Worm เจาะบัญชี GitHub Red Hat — ปนเปื้อน 32 แพ็กเกจ npm ดาวน์โหลด 117,000 ครั้ง/สัปดาห์ ขโมย AWS, Azure, GCP Token

Miasma malware Red Hat npm packages GitHub account supply chain attack
แฮ็กเกอร์เจาะบัญชี GitHub ของพนักงาน Red Hat และใช้ OIDC token ปล่อยมัลแวร์ Miasma เข้าสู่ 32 แพ็กเกจ npm ใน namespace @redhat-cloud-services ซึ่งมียอดดาวน์โหลดสูงถึง 117,000 ครั้งต่อสัปดาห์ มัลแวร์เป็น worm แพร่ตัวเองโดยขโมย cloud token ของ AWS, Azure, GCP รวมถึง API key ของ Claude และ Gemini นักพัฒนาที่ใช้แพ็กเกจเหล่านี้ต้องตรวจสอบ lockfile และ rotate credentials ด่วน