ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

80 ข่าว

PyrsistenceSniper — เครื่องมือโอเพนซอร์สตรวจจับ 117 เทคนิค Persistence ของมัลแวร์บน Windows, Linux และ macOS

PyrsistenceSniper tool detects 117 persistence malware techniques
PyrsistenceSniper คือเครื่องมือ Python โอเพนซอร์สจาก Hexastrike สำหรับตรวจจับ Persistence ของมัลแวร์โดยไม่ต้องเข้าถึงระบบสด รองรับ 117 เทคนิคครอบคลุม Windows, Linux และ macOS ตามกรอบ MITRE ATT&CK เก้าเทคนิคหลัก สแกนผ่าน Disk Image, Velociraptor Collection และ KAPE Dump โดยใช้ libregf ในการอ่าน Registry Hive และเสร็จภายใน 30 วินาที รองรับส่งออกผลเป็น Console, CSV, HTML และ XLSX พร้อมระบบกรองลายเซ็น Authenticode เพื่อแยก Persistence ที่ถูกต้องออกจากอันตราย

TrapDoor Supply Chain — มัลแวร์ฝังใน 34 แพ็กเกจบน npm, PyPI และ Crates.io ขโมย Crypto Wallet และ SSH Key ของ Developer

TrapDoor supply chain malware targets npm PyPI Crates.io developer packages
แคมเปญ TrapDoor ปล่อยมัลแวร์ใน 34 แพ็กเกจและกว่า 384 เวอร์ชันข้ามระบบนิเวศ npm, PyPI และ Crates.io เพื่อขโมย Crypto Wallet, SSH Key และข้อมูลรับรองตัวตนของ Developer โดยเฉพาะในชุมชน DeFi, Solana และ AI มัลแวร์ยังโจมตี AI Coding Assistant ผ่านการแก้ไขไฟล์ .cursorrules และ CLAUDE.md โดยฝังคำสั่งซ่อนด้วย Unicode พิเศษ บริษัท Socket ตรวจพบแคมเปญนี้ในเวลาเฉลี่ย 5 นาที 27 วินาทีหลังปล่อย

Showboat มัลแวร์ Linux ตัวใหม่จากจีน โจมตีโทรคมนาคมตะวันออกกลาง — กลุ่ม Calypso ที่เคยเจาะไทยอยู่เบื้องหลัง

Showboat Linux malware targeting telecom infrastructure
Lumen Black Lotus Labs เปิดเผยมัลแวร์ Linux ชื่อ Showboat ที่โจมตีผู้ให้บริการโทรคมนาคมตะวันออกกลางตั้งแต่กลางปี 2565 เป็น post-exploitation framework ที่เปิด remote shell และทำ SOCKS5 proxy เชื่อมโยงกับกลุ่ม Calypso จากจีนที่เคยโจมตีหน่วยงานรัฐในไทย

GitHub Actions ถูกโจมตี Supply Chain — แฮ็กเกอร์เปลี่ยน Tag ชี้ไปโค้ดอันตราย ขโมย Credentials จาก CI/CD Pipeline

GitHub Actions supply chain attack stealing CI/CD credentials
GitHub Action ยอดนิยม actions-cool/issues-helper ถูกโจมตีแบบ supply chain โดยแฮ็กเกอร์เปลี่ยน tag ทุกตัวให้ชี้ไป imposter commit ที่ฝังโค้ดอันตราย เมื่อ workflow ทำงานจะดาวน์โหลด Bun runtime อ่านหน่วยความจำของ Runner.Worker เพื่อขโมย credentials แล้วส่งข้อมูลออกไปยังเซิร์ฟเวอร์ของผู้โจมตีผ่าน HTTPS

Trapdoor — แคมเปญ Ad Fraud บน Android กระทบแอป 455 ตัว สร้าง Bid Requests ปลอม 659 ล้านครั้งต่อวัน

Trapdoor Android ad fraud malware scheme
นักวิจัยจาก HUMAN เปิดโปงปฏิบัติการ ad fraud ชื่อ Trapdoor บน Android ที่ใช้แอปอันตราย 455 ตัวและโดเมน C2 จำนวน 183 โดเมน สร้าง bid requests ปลอม 659 ล้านครั้งต่อวัน ผู้ใช้ดาวน์โหลดแอปยูทิลิตี้ที่ดูปกติ แต่แอปจะบังคับติดตั้งแอปเพิ่มเติม เปิด WebView ซ่อนเรียกโฆษณาเก็บเงินโดยที่ผู้ใช้ไม่รู้ตัว

มัลแวร์ Reaper ใหม่โจมตี macOS — ขโมยรหัสผ่าน คริปโต และข้อมูลเบราว์เซอร์ผ่านโดเมนปลอม Microsoft

Reaper malware targeting macOS users
SentinelLABS ค้นพบมัลแวร์ Reaper ซึ่งเป็นสายพันธุ์ใหม่ของ SHub Infostealer ที่สามารถหลบเลี่ยงการอัปเดตความปลอดภัยของ macOS Tahoe 26.4 ได้ มัลแวร์แพร่กระจายผ่านเว็บไซต์ดาวน์โหลดปลอมของ WeChat และ Miro โดยใช้โดเมน Typosquatting ของ Microsoft ขโมยรหัสผ่าน ข้อมูลเบราว์เซอร์ และคริปโตวอลเล็ต พร้อมฝัง Backdoor ถาวร

DAEMON Tools Supply Chain Attack — ตัวติดตั้งอย่างเป็นทางการถูกฝังมัลแวร์ กระทบไทยโดยตรง

DAEMON Tools Supply Chain Attack compromises official installers
ซอฟต์แวร์ DAEMON Tools Lite เวอร์ชัน Windows ถูกโจมตีแบบ supply chain ตั้งแต่วันที่ 8 เมษายน 2569 โดยผู้โจมตีฝังมัลแวร์ลงในตัวติดตั้งที่มีลายเซ็นดิจิทัลถูกต้องจากเว็บไซต์ทางการ Kaspersky พบว่ามีความพยายามติดมัลแวร์หลายพันครั้งใน 100 กว่าประเทศ แต่ backdoor ถูกส่งไปยังเป้าหมายเพียง 12 ระบบ รวมถึงหน่วยงานในประเทศไทย เบลารุส และรัสเซีย ผู้พัฒนาได้ออกเวอร์ชัน 12.6 แก้ไขปัญหาแล้ว

TrickMo Banking Trojan อัปเกรดใหม่ — ใช้ TON Blockchain ซ่อน C2 และเปลี่ยนมือถือเหยื่อเป็น Network Pivot

TrickMo Banking Trojan TON C2 SOCKS5 Android Malware
มัลแวร์ TrickMo เวอร์ชันใหม่ที่ ThreatFabric ค้นพบ ใช้เครือข่าย TON Blockchain แทน DNS ปกติเพื่อซ่อนการสื่อสาร C2 พร้อมเพิ่มความสามารถ SSH tunnelling และ SOCKS5 proxy เปลี่ยนมือถือ Android ที่ติดมัลแวร์เป็น network pivot กำลังโจมตีผู้ใช้ธนาคารและ crypto wallet ในยุโรป

TanStack Supply Chain Attack — มัลแวร์ Mini Shai-Hulud แพร่กระจายผ่าน npm packages กระทบ OpenAI และองค์กรหลายแห่ง

TanStack Supply Chain Attack Mini Shai-Hulud
แคมเปญ Mini Shai-Hulud โจมตี supply chain ของ TanStack บน npm โดยใช้ช่องโหว่ GitHub Actions ขโมย OIDC tokens แล้วปล่อยมัลแวร์ขโมย credentials ผ่าน 84 เวอร์ชันอันตรายใน 42 packages พร้อม code signing ที่ถูกต้อง CVE-2026-45321 คะแนน CVSS 9.6 กระทบ OpenAI ที่พนักงาน 2 เครื่องติดมัลแวร์ ต้องเพิกถอน certificates และออกอัปเดตแอปใหม่

node-ipc Supply Chain Attack — แพ็กเกจ npm ยอดนิยมถูกฝัง Stealer ขโมยข้อมูล Cloud Credentials

node-ipc npm Supply Chain Attack Stealer Backdoor
พบ backdoor ใน node-ipc 3 เวอร์ชัน (9.1.6, 9.2.3, 12.0.1) แพ็กเกจ npm ที่มียอดดาวน์โหลด 822K ต่อสัปดาห์ payload ขโมย credentials กว่า 90 หมวด รวม AWS, Azure, SSH keys และ GitHub tokens — นักพัฒนาควรตรวจสอบและลบเวอร์ชันที่เป็นอันตรายทันที