ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

8 ข่าว

จ้างงานข้ามพรมแดนยุค AI — เมื่อผู้สมัครที่ไม่เคยเจอตัวจริงอาจเป็นสายลับเกาหลีเหนือ ไทยติดกลุ่มปลายทางจ้างงานยอดนิยม

Remote cross-border hiring security risks including North Korean operatives and deepfake interviews
รายงานจาก Hackread ชี้ว่าการจ้างงานทีมข้ามพรมแดนกลายเป็นเรื่องปกติของสตาร์ตอัป AI แต่มาพร้อมความเสี่ยงด้านความปลอดภัยที่รุนแรงขึ้น เมื่อผู้สมัครที่ไม่เคยเจอตัวจริงอาจใช้ตัวตนปลอม การสัมภาษณ์ที่ถูกปลอมด้วย deepfake และฟาร์มโน้ตบุ๊กเพื่อซ่อนที่อยู่จริง Hackread เคยบันทึกกรณีที่คาดว่าเป็นสายลับเกาหลีเหนือได้งานไอทีระยะไกลโดยผ่านการตรวจสอบมาตรฐาน ไทยถูกระบุเป็นหนึ่งในปลายทางจ้างงานข้ามพรมแดนยอดนิยมในเอเชียตะวันออกเฉียงใต้

แคมเปญ PolinRider กลุ่มเกาหลีเหนือฝัง JavaScript Loader ในคลัง Open Source กว่า 100 แพ็กเกจ

north korea javascript supply chain cybersecurity linked hackers hide javascript loaders north korea
นักวิจัยจาก Socket.dev เปิดโปงแคมเปญ PolinRider ที่เชื่อมโยงกลุ่มเกาหลีเหนือ Contagious Interview/Famous Chollima ซ่อน JavaScript loader ในคลังโค้ด open source พบ 162 artifact ใน 108 แพ็กเกจทั้ง npm, Packagist, Go modules และ Chrome extension มัลแวร์ปลอมเป็นไฟล์ฟอนต์ woff2 ดึงเพย์โหลด DEV#POPPER และ OmniStealer ขโมยข้อมูลรับรองและกระเป๋าคริปโต โดยเล็งเป้าที่ตัวนักพัฒนาโดยตรง

พบแพ็กเกจ npm เชื่อมโยงเกาหลีเหนือปลอมเป็นเครื่องมือ Rollup Polyfill — ขโมยความลับนักพัฒนาและเปิดทางเข้าถึงระยะไกล

north korea developer git jfrog north korea packages mimic rollup polyfills
บริษัท JFrog เปิดเผยชุดแพ็กเกจ npm อันตรายที่เชื่อมโยงกับเกาหลีเหนือ ปลอมตัวเป็นเครื่องมือ Rollup polyfill ทั้งชื่อ เมทาดาทา และโครงสร้างเลียนแบบโปรเจกต์จริง เพื่อเปิดทางเข้าถึงระยะไกลและขโมยข้อมูล เพย์โหลดหลายชั้นดึงมัลแวร์ JavaScript มาขโมยข้อมูลรับรอง คีย์คลาวด์ SSH และกระเป๋าเงินคริปโตจากเครื่องนักพัฒนา รูปแบบคล้ายแคมเปญ Lazarus ก่อนหน้า ท่ามกลางการโจมตี supply chain โอเพนซอร์สอีกหลายคลัสเตอร์

Gaslight มัลแวร์ macOS ตัวใหม่ฝัง prompt injection หลอก AI ให้ล้มเลิกการวิเคราะห์ — ฝีมือกลุ่มเกาหลีเหนือ

Gaslight macOS malware uses prompt injection to disrupt AI-assisted analysis
นักวิจัยจาก SentinelOne พบมัลแวร์ macOS ตัวใหม่ชื่อ Gaslight ที่เขียนด้วยภาษา Rust ทำหน้าที่เป็นทั้ง implant และ infostealer เชื่อว่าเป็นฝีมือกลุ่มที่เชื่อมโยงกับเกาหลีเหนือ จุดเด่นคือการฝังข้อความ system ปลอม 38 ข้อความเพื่อทำ prompt injection หลอกเครื่องมือ AI ให้ล้มเลิกการวิเคราะห์ มัลแวร์ใช้ Telegram bot เป็นช่อง C2 และขโมยข้อมูลจากเบราว์เซอร์ Keychain และประวัติคำสั่ง Terminal

Microsoft โยงเหตุโจมตี Supply Chain ของ Mastra AI กับแฮ็กเกอร์เกาหลีเหนือ Sapphire Sleet — ฝัง malware ใน 140+ npm package

Microsoft links Mastra AI npm supply chain attack to North Korean hackers Sapphire Sleet
บริษัท Microsoft ระบุว่าเหตุโจมตี supply chain ของ Mastra AI ที่ทำให้ npm package กว่า 140 ตัวถูกบุกรุก เป็นฝีมือกลุ่มแฮ็กเกอร์รัฐบาลเกาหลีเหนือ Sapphire Sleet (BlueNoroff) ผู้โจมตียึดบัญชี maintainer ’ehindero’ แล้วปล่อยอัปเดตอันตรายในสโคป @mastra ที่ฝัง dependency ชื่อ easy-day-js ซึ่งเป็น typosquat ของ dayjs เมื่อติดตั้งจะรัน post-install hook ปล่อย infostealer ข้ามแพลตฟอร์มที่ขโมย credential, API key, token และเล็งกระเป๋าคริปโต 166 ตัว

แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub

North Korean hackers UNK_DeadDrop malware campaign targeting developers via VS Code
นักวิจัยจาก Proofpoint เปิดโปงแคมเปญ UNK_DeadDrop ที่เชื่อมโยงกับเกาหลีเหนือ โจมตีนักพัฒนาในเกือบ 100 องค์กรด้วยอีเมลฟิชชิงหลอกให้โคลน GitHub Repository อันตรายแล้วเปิดใน VS Code ซึ่งจะรันมัลแวร์อัตโนมัติทั้งบน Windows, macOS และ Linux พร้อมกันนี้ยังพบ VS Code Extension ที่เป็น Backdoor บน Marketplace อย่างเป็นทางการอีกด้วย

Kimsuky ปล่อยมัลแวร์ HTTPSpy ขยายคลังอาวุธด้วย HelloDoor และ VS Code Tunnels — ปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัยและ Webex

Kimsuky North Korea HTTPSpy malware fake security software Webex
Kimsuky กลุ่ม APT เกาหลีเหนือ ถูกระบุว่าโจมตีหน่วยงานทหารและองค์กรเกาหลีใต้ช่วงมีนาคม–เมษายน 2569 ด้วยการปลอมหน้าติดตั้งซอฟต์แวร์ความปลอดภัยและหน้า Webex ปลอม เพื่อหลอกติดตั้งมัลแวร์ HTTPSpy ที่เป็น RAT เต็มรูปแบบ พร้อมเทคนิคใหม่ JSONPing ยืนยันการติดมัลแวร์แบบเรียลไทม์ Kaspersky ยังพบการใช้ VS Code tunnel, Cloudflare Quick Tunnels และ LLM ช่วยพัฒนามัลแวร์ใหม่อย่าง HelloDoor และ HttpMalice

Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์

Lazarus Group deploys RemotePE memory-only RAT targeting crypto and financial firms
กลุ่ม Lazarus ของเกาหลีเหนือใช้มัลแวร์ชื่อ RemotePE ซึ่งรันทั้งหมดใน Memory ไม่มีไฟล์บนดิสก์เลย ทำให้ตรวจจับยากมาก โดยใช้ Loader chain สองชั้นคือ DPAPILoader และ RemotePELoader ก่อนโหลด RAT เต็มรูปแบบจาก C2 มาทำงานในหน่วยความจำ นักวิจัยจาก Fox-IT พบว่าเครื่องมือชุดนี้ถูกพัฒนาระหว่างปี 2566-2567 และไม่เคยปรากฏใน VirusTotal ก่อนการเปิดเผย บ่งชี้ว่าถูกสงวนไว้สำหรับเป้าหมายมูลค่าสูงโดยเฉพาะ