ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

5 ข่าว

ChocoPoC RAT ตัวใหม่ ล่านักวิจัยช่องโหว่ผ่านรีโป PoC ปลอมบน GitHub

rat malware vulnerability browser chocopoc cves
YesWeHack และ Sekoia เปิดโปงโทรจันขโมยข้อมูลตัวใหม่ชื่อ ChocoPoC ที่ซ่อนอยู่ในโค้ด PoC ปลอมบน GitHub ซึ่งอ้างว่าเจาะ CVE ดัง ๆ เมื่อรัน มันจะขโมยรหัสผ่าน คุกกี้เบราว์เซอร์ และไฟล์ แล้วเปิด shell ให้แฮ็กเกอร์ มัลแวร์ซ่อนในแพ็กเกจ Python ที่ PoC ดึงมาเป็น dependency ทำให้ผ่านการรีวิวโค้ด พบรีโปปลอมอย่างน้อย 7 แห่งผูกกับช่องโหว่ดัง แพ็กเกจ skytext ถูกดาวน์โหลดราว 2,400 ครั้ง นักวิจัยเตือนอย่ารันโค้ดเหล่านี้

แพ็กเกจ PyPI อันตรายปลอมเป็น Pyrogram ฝังแบ็กดอร์ยึดเซิร์ฟเวอร์บอต Telegram — ปฏิบัติการ Navy Ghost

Malicious PyPI Pyrogram forks backdoor Telegram bot servers Operation Navy Ghost
นักวิจัยจากบริษัท Checkmarx เปิดโปงแคมเปญ Operation Navy Ghost ที่พุ่งเป้านักพัฒนา Python ซึ่งสร้างบอต Telegram โดยปล่อยแพ็กเกจ Pyrogram ปลอมอย่างน้อย 8 ตัวบน PyPI ตั้งแต่พฤศจิกายน 2025 ถึงมิถุนายน 2026 แพ็กเกจฝังไฟล์แบ็กดอร์ชื่อ secret.py ที่เปิดให้ผู้โจมตีรันโค้ด Python หรือคำสั่งเชลล์บนเซิร์ฟเวอร์เหยื่อ อ่านไฟล์ใด ๆ ดึงข้อมูลลับ ฐานข้อมูล และแชท Telegram แบ็กดอร์ทำงานเฉพาะบนบัญชีบอตที่มักรันในระบบ production นักพัฒนาที่ติดตั้งควรลบและหมุนเวียนข้อมูลรับรองทันที

Shai-Hulud โจมตี PyPI สายวิทยาศาสตร์ — เจาะ 19 แพ็กเกจ bioinformatics ขโมยความลับนักพัฒนาผ่าน .pth ทริกเกอร์ Bun runtime

Shai-Hulud trojanizes 19 science-focused PyPI packages stealing developer secrets
บริษัท Socket เผยแคมเปญใหม่ของ Shai-Hulud โจมตี PyPI เจาะ 19 แพ็กเกจสายชีวสารสนเทศ Dynamo Spateo CoolBox U-FISH และ Napari-UFISH ออก 37 รีลีสมุ่งร้ายจาก maintainer เดียว ใช้ไฟล์ .pth ที่ Python เปิดเองตอน start เพื่อโหลด Bun runtime จาก GitHub แล้วรัน _index.js ขโมย GitHub token ความลับ AWS GCP Azure SSH key Docker .env และ Claude/MCP configuration

TrapDoor — 34 แพ็กเกจอันตรายข้าม 3 อีโคซิสเต็ม ขโมย Cloud Key, Wallet และ SSH พร้อมฝังคำสั่งหลอก AI Coding Tool

TrapDoor campaign uses 34 malicious packages to steal cloud keys wallets and SSH credentials
Socket.dev และ SlowMist เปิดเผยแคมเปญ TrapDoor ที่ฝังแพ็กเกจอันตราย 34 ตัว (รวม 384 เวอร์ชัน) ข้าม npm, PyPI และ Crates.io ขโมย AWS key, GitHub token, OpenAI API key, SSH key และไฟล์ wallet เพียงแค่ติดตั้งหรือ build ก็ทำงานทันที จุดเด่นคือเขียนคำสั่งซ่อนใน .cursorrules และ CLAUDE.md ด้วยอักขระ zero-width เพื่อหลอกให้เครื่องมือ AI อย่าง Cursor และ Claude Code รันคำสั่งอันตราย ส่งข้อมูลออกผ่าน GitHub Pages และ webhook.site ที่ firewall มักไว้ใจ

TrapDoor Supply Chain — มัลแวร์ฝังใน 34 แพ็กเกจบน npm, PyPI และ Crates.io ขโมย Crypto Wallet และ SSH Key ของ Developer

TrapDoor supply chain malware targets npm PyPI Crates.io developer packages
แคมเปญ TrapDoor ปล่อยมัลแวร์ใน 34 แพ็กเกจและกว่า 384 เวอร์ชันข้ามระบบนิเวศ npm, PyPI และ Crates.io เพื่อขโมย Crypto Wallet, SSH Key และข้อมูลรับรองตัวตนของ Developer โดยเฉพาะในชุมชน DeFi, Solana และ AI มัลแวร์ยังโจมตี AI Coding Assistant ผ่านการแก้ไขไฟล์ .cursorrules และ CLAUDE.md โดยฝังคำสั่งซ่อนด้วย Unicode พิเศษ บริษัท Socket ตรวจพบแคมเปญนี้ในเวลาเฉลี่ย 5 นาที 27 วินาทีหลังปล่อย