ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

4 ข่าว

CrashStealer มัลแวร์ macOS ตัวใหม่ ใช้ Dropper ที่ผ่าน Notarize เลี่ยงการตรวจของ Gatekeeper

CrashStealer macOS malware uses notarized dropper to pass Gatekeeper checks
นักวิจัยจาก Jamf Threat Labs พบมัลแวร์ขโมยข้อมูล macOS ตัวใหม่ชื่อ CrashStealer ที่เขียนด้วยภาษา C++ ต่างจาก stealer ทั่วไปที่ใช้ AppleScript หรือ Objective-C มันตรวจสอบรหัสผ่านล็อกอินของเหยื่อในเครื่องก่อนขโมยข้อมูล เก็บกวาดทั้งเบราว์เซอร์ กระเป๋าคริปโต ตัวจัดการรหัสผ่าน และ Keychain เข้ารหัสด้วย AES-GCM ก่อนส่งออกผ่าน libcurl จุดเด่นคือแพร่ผ่าน Dropper ที่เซ็นและผ่าน Apple Notarize ในชื่อ Werkbit.app ทำให้ผ่านการตรวจของ Gatekeeper ได้ และการดาวน์โหลดต้องมี PIN ประชุมจึงจะเข้าถึง

กลุ่ม Armored Likho โจมตีหน่วยงานรัฐและภาคพลังงานด้วย BusySnake Stealer — ใช้ช่องโหว่ LNK CVE-2025-9491 และ AI ช่วยสร้างมัลแวร์

armored likho busysnake stealer espionage kaspersky government power sector
บริษัท Kaspersky เปิดเผยกลุ่มภัยคุกคามใหม่ชื่อ Armored Likho ที่โจมตีหน่วยงานรัฐและภาคไฟฟ้าในรัสเซีย บราซิล และคาซัคสถาน ผสมเป้าหมายจารกรรมกับการขโมยเงิน กลุ่มนี้ใช้มัลแวร์ขโมยข้อมูลตัวใหม่ชื่อ BusySnake ที่เขียนด้วย Python พร้อมใช้ช่องโหว่ LNK CVE-2025-9491 และมีร่องรอยว่าใช้ AI ช่วยสร้างโค้ดโหลดเดอร์ เชื่อมโยงกับกลุ่ม Eagle Werewolf

SHub Reaper — มัลแวร์ macOS สายพันธุ์ใหม่ใช้ ClickFix อัตโนมัติ เปิด Script Editor ขโมยเบราว์เซอร์และกระเป๋าคริปโต

SHub Reaper macOS stealer ClickFix Script Editor crypto wallet
บริษัท Moonlock พบ SHub Stealer สายพันธุ์ใหม่ชื่อ Reaper แพร่ผ่านเว็บปลอมที่เลียนแบบซอฟต์แวร์ยอดนิยม ใช้ ClickFix อัตโนมัติเปิด Script Editor ของ macOS โดยไม่ต้องให้ผู้ใช้วางโค้ดเอง ขโมยข้อมูลเบราว์เซอร์ 8 ยี่ห้อ กระเป๋าคริปโต 5 ตัว และฝัง backdoor ปลอมตัวเป็น Google Update ผู้ใช้ Mac ที่ดาวน์โหลดซอฟต์แวร์นอก App Store ควรระวังเป็นพิเศษ

node-ipc Supply Chain Attack — แพ็กเกจ npm ยอดนิยมถูกฝัง Stealer ขโมยข้อมูล Cloud Credentials

node-ipc npm Supply Chain Attack Stealer Backdoor
พบ backdoor ใน node-ipc 3 เวอร์ชัน (9.1.6, 9.2.3, 12.0.1) แพ็กเกจ npm ที่มียอดดาวน์โหลด 822K ต่อสัปดาห์ payload ขโมย credentials กว่า 90 หมวด รวม AWS, Azure, SSH keys และ GitHub tokens — นักพัฒนาควรตรวจสอบและลบเวอร์ชันที่เป็นอันตรายทันที