ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

19 ข่าว

Phantom Gyp — เวิร์ม Miasma สายพันธุ์ใหม่ใช้ไฟล์ binding.gyp เจาะ 57 แพ็กเกจ npm ใน 2 ชั่วโมง

binding.gyp Phantom Gyp supply chain attack compromises dozens of npm packages
บริษัท StepSecurity เปิดเผยเวิร์มแพร่ตัวเองสายพันธุ์ใหม่ของ Miasma ตั้งชื่อเทคนิคว่า Phantom Gyp ที่ใช้ไฟล์ตั้งค่าเล็ก ๆ ชื่อ binding.gyp (157 ไบต์) กระตุ้นโค้ดอันตรายตอน npm install แทนการซ่อนใน package.json เลี่ยง preinstall/postinstall ที่ scanner ส่วนใหญ่ตรวจ เจาะ 57 แพ็กเกจ 286+ เวอร์ชันใน 2 ชั่วโมงเมื่อ 3 มิ.ย. เป้าใหญ่สุดคือ @vapi-ai/server-sdk (408,000 ดาวน์โหลด/เดือน) ขโมย credential คลาวด์ใน CI/CD ฝัง backdoor ใน Claude Code/Cursor/Gemini ทิ้งข้อความเย้ย Shai-Hulud

Miasma — Supply Chain Attack โจมตี npm ของ Red Hat ขโมย credentials จาก CI/CD pipeline

Miasma supply chain attack compromises Red Hat npm packages with credential-stealing worm
แคมเปญ supply chain attack ชื่อ Miasma โจมตี npm packages ในกลุ่ม @redhat-cloud-services จำนวน 32 packages กว่า 96 เวอร์ชัน ซึ่งมียอดดาวน์โหลดรวมกันกว่า 117,000 ครั้งต่อสัปดาห์ มัลแวร์เป็น variant ใหม่ของ Mini Shai-Hulud worm ที่แพร่กระจายตัวเองโดยขโมย credentials จาก developer machine และ CI/CD pipeline ผู้โจมตีเจาะเข้าระบบผ่าน GitHub Actions OIDC token ของพนักงาน Red Hat ทำให้ commit ที่อันตรายปรากฏเป็น verified และ signed เสมือนถูกกฎหมาย

TrapDoor — 34 แพ็กเกจอันตรายข้าม 3 อีโคซิสเต็ม ขโมย Cloud Key, Wallet และ SSH พร้อมฝังคำสั่งหลอก AI Coding Tool

TrapDoor campaign uses 34 malicious packages to steal cloud keys wallets and SSH credentials
Socket.dev และ SlowMist เปิดเผยแคมเปญ TrapDoor ที่ฝังแพ็กเกจอันตราย 34 ตัว (รวม 384 เวอร์ชัน) ข้าม npm, PyPI และ Crates.io ขโมย AWS key, GitHub token, OpenAI API key, SSH key และไฟล์ wallet เพียงแค่ติดตั้งหรือ build ก็ทำงานทันที จุดเด่นคือเขียนคำสั่งซ่อนใน .cursorrules และ CLAUDE.md ด้วยอักขระ zero-width เพื่อหลอกให้เครื่องมือ AI อย่าง Cursor และ Claude Code รันคำสั่งอันตราย ส่งข้อมูลออกผ่าน GitHub Pages และ webhook.site ที่ firewall มักไว้ใจ

ทลาย GlassWorm — CrowdStrike ปิด C2 ทั้ง 4 ช่องพร้อมกัน หยุดมัลแวร์ Supply Chain ที่ซ่อน C2 ในบล็อกเชน Solana

GlassWorm malware supply chain takedown CrowdStrike disrupts C2 infrastructure Solana blockchain BitTorrent
CrowdStrike ร่วมกับ Google และ Shadowserver Foundation ปิด C2 infrastructure ทั้ง 4 ช่องของ GlassWorm พร้อมกัน มัลแวร์ตัวนี้โจมตี developer ผ่าน VS Code extension ปลอม, npm และ Python package เป็นเวลากว่าหนึ่งปี ปนเปื้อน GitHub repository กว่า 300 แห่งด้วย credential ที่ขโมยมา โดดเด่นด้วยการซ่อน C2 address ไว้บน Solana blockchain, BitTorrent DHT และ Google Calendar เพื่อต้านการถูก Takedown

npm เพิ่ม 2FA-Gated Publishing และ Install Source Controls — ป้องกัน Supply Chain Attack ด้วย Staged Publishing

npm adds 2FA-gated staged publishing and install source controls for supply chain security
GitHub เปิดตัว Staged Publishing บน npm ซึ่งบังคับให้ Maintainer ผ่านการยืนยัน 2FA ก่อนที่แพ็กเกจจะเผยแพร่สู่สาธารณะ พร้อมเพิ่ม Install Source Flag สามตัวใหม่เพื่อควบคุมแหล่งที่มาของ Package ที่ติดตั้ง มาตรการนี้รองรับทั้ง CI/CD Pipeline แบบ non-interactive และ Trusted Publishing ด้วย OIDC ตอบสนองต่อการโจมตี Supply Chain ที่พุ่งสูงขึ้นอย่างรวดเร็วในช่วงที่ผ่านมา

TrapDoor Supply Chain — มัลแวร์ฝังใน 34 แพ็กเกจบน npm, PyPI และ Crates.io ขโมย Crypto Wallet และ SSH Key ของ Developer

TrapDoor supply chain malware targets npm PyPI Crates.io developer packages
แคมเปญ TrapDoor ปล่อยมัลแวร์ใน 34 แพ็กเกจและกว่า 384 เวอร์ชันข้ามระบบนิเวศ npm, PyPI และ Crates.io เพื่อขโมย Crypto Wallet, SSH Key และข้อมูลรับรองตัวตนของ Developer โดยเฉพาะในชุมชน DeFi, Solana และ AI มัลแวร์ยังโจมตี AI Coding Assistant ผ่านการแก้ไขไฟล์ .cursorrules และ CLAUDE.md โดยฝังคำสั่งซ่อนด้วย Unicode พิเศษ บริษัท Socket ตรวจพบแคมเปญนี้ในเวลาเฉลี่ย 5 นาที 27 วินาทีหลังปล่อย

Nx Console 18.95.0 ถูกฝังมัลแวร์ขโมยข้อมูล — โจมตีนักพัฒนา VS Code กว่า 2.2 ล้านราย

Nx Console VS Code extension supply chain attack
ส่วนขยาย Nx Console เวอร์ชัน 18.95.0 บน VS Code Marketplace ถูกฝังมัลแวร์ขโมย Credential หลังจากเครื่องนักพัฒนาถูกเจาะและ GitHub Credentials รั่วไหล ผู้โจมตีใช้ Orphan Commit ซ่อน Payload ขนาด 498 KB ในที่เก็บโค้ดอย่างเป็นทางการ มัลแวร์ทำงานทันทีที่เปิด Workspace และขโมยข้อมูลผ่าน HTTPS, GitHub API และ DNS Tunneling

TanStack Supply Chain Attack — มัลแวร์ Mini Shai-Hulud แพร่กระจายผ่าน npm packages กระทบ OpenAI และองค์กรหลายแห่ง

TanStack Supply Chain Attack Mini Shai-Hulud
แคมเปญ Mini Shai-Hulud โจมตี supply chain ของ TanStack บน npm โดยใช้ช่องโหว่ GitHub Actions ขโมย OIDC tokens แล้วปล่อยมัลแวร์ขโมย credentials ผ่าน 84 เวอร์ชันอันตรายใน 42 packages พร้อม code signing ที่ถูกต้อง CVE-2026-45321 คะแนน CVSS 9.6 กระทบ OpenAI ที่พนักงาน 2 เครื่องติดมัลแวร์ ต้องเพิกถอน certificates และออกอัปเดตแอปใหม่

node-ipc Supply Chain Attack — แพ็กเกจ npm ยอดนิยมถูกฝัง Stealer ขโมยข้อมูล Cloud Credentials

node-ipc npm Supply Chain Attack Stealer Backdoor
พบ backdoor ใน node-ipc 3 เวอร์ชัน (9.1.6, 9.2.3, 12.0.1) แพ็กเกจ npm ที่มียอดดาวน์โหลด 822K ต่อสัปดาห์ payload ขโมย credentials กว่า 90 หมวด รวม AWS, Azure, SSH keys และ GitHub tokens — นักพัฒนาควรตรวจสอบและลบเวอร์ชันที่เป็นอันตรายทันที