ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

19 ข่าว

แฮ็กเกอร์ฝังแบ็กดอร์ในแพ็กเกจ npm ของ Jscrambler — มัลแวร์ขโมยข้อมูลถูกดาวน์โหลดเกือบ 1,500 ครั้ง

malware infostealer backdoor npm the jscrambler
บริษัท Jscrambler เปิดเผยว่าผู้โจมตีเผยแพร่แพ็กเกจ npm เวอร์ชันอันตรายของบริษัท ครอบคลุมรุ่น 8.14, 8.16, 8.17 และ 8.20 โดยฝังมัลแวร์ขโมยข้อมูล (Infostealer) ที่ทำงานตอน preinstall hook แพ็กเกจนี้เปิดอยู่ราว 2 ชั่วโมงและถูกดาวน์โหลด 1,479 ครั้ง มัลแวร์ล้วงซอร์สโค้ด ข้อมูลรับรองนักพัฒนา คีย์คลาวด์ ค่าคอนฟิกเครื่องมือ AI และกระเป๋าคริปโต ต้นเหตุมาจากข้อมูลรับรองการเผยแพร่ npm ที่ถูกขโมย

GitHub ของ Injective Labs ถูกเจาะ ปล่อยแพ็กเกจ npm ขโมยกุญแจกระเป๋าคริปโต

Injective Labs GitHub compromise npm wallet key stealing packages
ผู้ก่อภัยคุกคามเจาะ GitHub repository ของโครงการ Injective Labs SDK แล้วใช้ปล่อยแพ็กเกจอันตรายบน npm เพื่อขโมย private key และ mnemonic seed phrase ของกระเป๋าคริปโต เวอร์ชันที่ถูกเจาะคือ @injectivelabs/sdk-ts@1.20.21 ฝังฟังก์ชัน telemetry ปลอมที่ขโมยข้อมูลกระเป๋า พร้อมกระจายเวอร์ชันเดียวกันไปยังอีก 17 แพ็กเกจในเครือ การโจมตีใช้บัญชี maintainer ที่ไว้ใจได้ผ่าน trusted-publisher (OIDC) pipeline ผู้ใช้ที่ติดตั้งควรอัปเดตเป็นเวอร์ชันสะอาด 1.20.23 และเปลี่ยนกุญแจทั้งหมดทันที

แคมเปญ PolinRider กลุ่มเกาหลีเหนือฝัง JavaScript Loader ในคลัง Open Source กว่า 100 แพ็กเกจ

north korea javascript supply chain cybersecurity linked hackers hide javascript loaders north korea
นักวิจัยจาก Socket.dev เปิดโปงแคมเปญ PolinRider ที่เชื่อมโยงกลุ่มเกาหลีเหนือ Contagious Interview/Famous Chollima ซ่อน JavaScript loader ในคลังโค้ด open source พบ 162 artifact ใน 108 แพ็กเกจทั้ง npm, Packagist, Go modules และ Chrome extension มัลแวร์ปลอมเป็นไฟล์ฟอนต์ woff2 ดึงเพย์โหลด DEV#POPPER และ OmniStealer ขโมยข้อมูลรับรองและกระเป๋าคริปโต โดยเล็งเป้าที่ตัวนักพัฒนาโดยตรง

พบแพ็กเกจ npm เชื่อมโยงเกาหลีเหนือปลอมเป็นเครื่องมือ Rollup Polyfill — ขโมยความลับนักพัฒนาและเปิดทางเข้าถึงระยะไกล

north korea developer git jfrog north korea packages mimic rollup polyfills
บริษัท JFrog เปิดเผยชุดแพ็กเกจ npm อันตรายที่เชื่อมโยงกับเกาหลีเหนือ ปลอมตัวเป็นเครื่องมือ Rollup polyfill ทั้งชื่อ เมทาดาทา และโครงสร้างเลียนแบบโปรเจกต์จริง เพื่อเปิดทางเข้าถึงระยะไกลและขโมยข้อมูล เพย์โหลดหลายชั้นดึงมัลแวร์ JavaScript มาขโมยข้อมูลรับรอง คีย์คลาวด์ SSH และกระเป๋าเงินคริปโตจากเครื่องนักพัฒนา รูปแบบคล้ายแคมเปญ Lazarus ก่อนหน้า ท่ามกลางการโจมตี supply chain โอเพนซอร์สอีกหลายคลัสเตอร์

Shai-Hulud กลับมาอีกระลอก ฝัง payload ในแพ็กเกจ npm ขโมย credential GitHub, npm, คลาวด์, CI/CD และ SSH ของนักพัฒนา

Shai-Hulud payload steals GitHub npm cloud CI/CD and SSH credentials from developers
นักวิจัยจาก JFrog Security Research พบ Shai-Hulud payload ที่พก Hades malware กลับมาอีกระลอก ฝังในแพ็กเกจ npm ที่พุ่งเป้านักพัฒนาสาย cloud และ serverless ขยายไปยังระบบนิเวศ Leo/RStreams ของ AWS เมื่อติดตั้งแพ็กเกจ payload จะขโมย credential จาก GitHub, npm, คลาวด์, CI/CD และ SSH ส่งไปยัง repository ของผู้โจมตี แพ็กเกจที่กระทบมียอดดาวน์โหลดราว 45,000 ครั้งต่อเดือน ใช้ไฟล์ binding.gyp ซ่อนโค้ดหลบ scanner

Microsoft โยงเหตุโจมตี Supply Chain ของ Mastra AI กับแฮ็กเกอร์เกาหลีเหนือ Sapphire Sleet — ฝัง malware ใน 140+ npm package

Microsoft links Mastra AI npm supply chain attack to North Korean hackers Sapphire Sleet
บริษัท Microsoft ระบุว่าเหตุโจมตี supply chain ของ Mastra AI ที่ทำให้ npm package กว่า 140 ตัวถูกบุกรุก เป็นฝีมือกลุ่มแฮ็กเกอร์รัฐบาลเกาหลีเหนือ Sapphire Sleet (BlueNoroff) ผู้โจมตียึดบัญชี maintainer ’ehindero’ แล้วปล่อยอัปเดตอันตรายในสโคป @mastra ที่ฝัง dependency ชื่อ easy-day-js ซึ่งเป็น typosquat ของ dayjs เมื่อติดตั้งจะรัน post-install hook ปล่อย infostealer ข้ามแพลตฟอร์มที่ขโมย credential, API key, token และเล็งกระเป๋าคริปโต 166 ตัว

npm 12 จะบล็อกการรันสคริปต์จาก dependency โดยอัตโนมัติ — ตอบโต้คลื่นโจมตี Supply Chain ที่ถล่มอีโคซิสเต็ม

npm 12 will change script execution behavior to prevent supply chain attacks
GitHub ประกาศว่า npm เวอร์ชัน 12 ที่คาดว่าจะออกในเดือนกรกฎาคมจะเปลี่ยนพฤติกรรมสำคัญ โดย npm install จะไม่รันสคริปต์ preinstall, install หรือ postinstall จาก dependency อีกต่อไป ยกเว้นได้รับอนุญาตอย่างชัดแจ้ง เพื่อปิดช่องทางโจมตี supply chain ที่ถูกใช้ในเหตุการณ์ใหญ่หลายครั้งช่วงที่ผ่านมา

Miasma Worm เจาะ 73 รีโพ GitHub ของ Microsoft — กระทบ Azure, durabletask ฝังpayload ลวง AI Coding Tool ให้รันเอง

Miasma worm hits 73 Microsoft GitHub repositories
เวิร์ม Miasma ลามเข้าสู่รีโพ GitHub ของ Microsoft ถึง 73 รายการใน 4 องค์กร ทั้ง Azure, Azure-Samples, Microsoft และ MicrosoftDocs จน GitHub ต้องปิดการเข้าถึง จุดน่ากังวลคือการเจาะ durabletask ซ้ำที่เคยถูก TeamPCP เล่นงานเมื่อเดือนก่อน บ่งชี้ว่า credential อาจไม่เคยถูกกู้คืนเต็มที่ Miasma ยังฝัง payload 4.3MB ที่สั่งให้รันอัตโนมัติผ่าน Claude Code, Gemini CLI, Cursor และ VS Code เมื่อนักพัฒนาเปิดรีโพ สะท้อนช่องโหว่ของ trust model ในระบบโอเพนซอร์ส

Miasma Worm เจาะบัญชี GitHub Red Hat — ปนเปื้อน 32 แพ็กเกจ npm ดาวน์โหลด 117,000 ครั้ง/สัปดาห์ ขโมย AWS, Azure, GCP Token

Miasma malware Red Hat npm packages GitHub account supply chain attack
แฮ็กเกอร์เจาะบัญชี GitHub ของพนักงาน Red Hat และใช้ OIDC token ปล่อยมัลแวร์ Miasma เข้าสู่ 32 แพ็กเกจ npm ใน namespace @redhat-cloud-services ซึ่งมียอดดาวน์โหลดสูงถึง 117,000 ครั้งต่อสัปดาห์ มัลแวร์เป็น worm แพร่ตัวเองโดยขโมย cloud token ของ AWS, Azure, GCP รวมถึง API key ของ Claude และ Gemini นักพัฒนาที่ใช้แพ็กเกจเหล่านี้ต้องตรวจสอบ lockfile และ rotate credentials ด่วน

IronWorm — มัลแวร์ Rust เจาะ 36 แพ็กเกจ npm ขโมยความลับนักพัฒนา ซ่อนด้วย eBPF rootkit สื่อสารผ่าน Tor

New IronWorm malware hits 36 packages in npm supply-chain attack
บริษัท JFrog เปิดเผยมัลแวร์ใหม่ IronWorm ที่เจาะ 36 แพ็กเกจบน npm เป็น infostealer เขียนด้วย Rust ซ่อนหลัง eBPF kernel rootkit และสื่อสารกับผู้ควบคุมผ่านเครือข่าย Tor มุ่งเป้า environment variable 86 ตัวและไฟล์ credential 20 ไฟล์ที่อาจมี OpenAI, AWS, Anthropic, npm token, SSH key และ wallet Exodus มันแพร่ตัวเองด้วย npm token ที่ขโมยมา เริ่มจากบัญชี asteroiddao ที่ถูกเจาะ โดย Ox Security ระบุว่าหยุดได้เร็วก่อนลามไปแพ็กเกจยอดนิยม