ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

60 ข่าว

Microsoft เปิดแผนที่ 3 เส้นทางโจมตี Salesforce ของ ShinyHunters — เจาะได้ทั้งปีโดยไม่ใช้ช่องโหว่สักตัว

shinyhunters vulnerability exploit extortion linked salesforce data theft across three paths attackers long shinyhunters
Microsoft เผยแพร่งานวิจัยที่ทำแผนที่แคมเปญขโมยข้อมูล Salesforce ตลอดกว่า 1 ปี ซึ่งเชื่อมโยงกับกลุ่มรีดไถ ShinyHunters โดยไม่ได้เจาะช่องโหว่ของแพลตฟอร์มเลย แต่อาศัยความไว้วางใจผ่านการเชื่อมต่อ OAuth แบ่งเป็น 3 เส้นทาง คือ vishing หลอกพนักงานอนุมัติแอป, ขโมยโทเคน OAuth จากผู้ให้บริการที่ถูกเจาะ (Salesloft Drift, Gainsight, Klue) และการตั้งค่า guest access ผิดพลาด Microsoft ร่วมกับ Salesforce ออกเครื่องมือตรวจจับและกำกับดูแลใหม่

แฮ็กเกอร์ฝังแบ็กดอร์ในแพ็กเกจ npm ของ Jscrambler — มัลแวร์ขโมยข้อมูลถูกดาวน์โหลดเกือบ 1,500 ครั้ง

malware infostealer backdoor npm the jscrambler
บริษัท Jscrambler เปิดเผยว่าผู้โจมตีเผยแพร่แพ็กเกจ npm เวอร์ชันอันตรายของบริษัท ครอบคลุมรุ่น 8.14, 8.16, 8.17 และ 8.20 โดยฝังมัลแวร์ขโมยข้อมูล (Infostealer) ที่ทำงานตอน preinstall hook แพ็กเกจนี้เปิดอยู่ราว 2 ชั่วโมงและถูกดาวน์โหลด 1,479 ครั้ง มัลแวร์ล้วงซอร์สโค้ด ข้อมูลรับรองนักพัฒนา คีย์คลาวด์ ค่าคอนฟิกเครื่องมือ AI และกระเป๋าคริปโต ต้นเหตุมาจากข้อมูลรับรองการเผยแพร่ npm ที่ถูกขโมย

Ghostcommit — ซ่อนคำสั่ง Prompt Injection ในรูป PNG หลอก AI Agent ให้ขโมยความลับในโปรเจกต์

Ghostcommit attack hiding prompt injection inside a PNG image to fool AI coding agents
นักวิจัยจากมหาวิทยาลัย Missouri-Kansas City สาธิตการโจมตีชื่อ Ghostcommit ที่ซ่อนคำสั่งอันตรายไว้ในไฟล์รูป PNG ซึ่ง AI code reviewer ไม่เคยเปิดอ่าน เมื่อ AI coding agent ทำงานภายหลังจะอ่านรูปนั้น เปิดไฟล์ .env และเขียนคีย์ลับทั้งหมดออกมาเป็นชุดตัวเลขที่ดูไม่มีพิษภัย งานวิจัยพบว่า pull request ที่ merge เข้า main กว่า 73% ไม่ผ่านการรีวิวจากคนหรือบอตเลย และเครื่องมือที่ครอบ AI ต่างหากที่ชี้ผลว่าจะโดนหรือไม่ ไม่ใช่ตัวโมเดล

ออสเตรเลียเตือนแคมเปญโจมตีทั่วโลกเล็งเป้าแพลตฟอร์ม CMS ที่มีช่องโหว่ — ฝัง Webshell ยึดเว็บไซต์ธุรกิจ

ACSC warns of global campaign deploying webshells on vulnerable CMS platforms and plugins
ศูนย์ความมั่นคงไซเบอร์ออสเตรเลีย (ACSC) ออกประกาศเตือนแคมเปญโจมตีระดับโลกที่มุ่งเป้าระบบจัดการเนื้อหา (CMS) และปลั๊กอินที่มีช่องโหว่ ระบุว่าธุรกิจขนาดเล็กถึงกลางในออสเตรเลียจำนวนมากถูกโจมตีแล้ว โดยผู้โจมตีสแกนหาเว็บไซต์เพื่อฝัง Webshell ที่เปิดทางเข้าถึงระบบอย่างต่อเนื่อง ขโมยข้อมูลล็อกอิน และเคลื่อนตัวลึกเข้าเครือข่าย ช่องโหว่ครอบคลุมทั้ง WordPress, Craft CMS, Joomla JCE และปลั๊กอินยอดนิยมหลายตัว ACSC ยังเตือนว่าแคมเปญนี้อาจมี AI ช่วยเร่งการโจมตี

GitHub ของ Injective Labs ถูกเจาะ ปล่อยแพ็กเกจ npm ขโมยกุญแจกระเป๋าคริปโต

Injective Labs GitHub compromise npm wallet key stealing packages
ผู้ก่อภัยคุกคามเจาะ GitHub repository ของโครงการ Injective Labs SDK แล้วใช้ปล่อยแพ็กเกจอันตรายบน npm เพื่อขโมย private key และ mnemonic seed phrase ของกระเป๋าคริปโต เวอร์ชันที่ถูกเจาะคือ @injectivelabs/sdk-ts@1.20.21 ฝังฟังก์ชัน telemetry ปลอมที่ขโมยข้อมูลกระเป๋า พร้อมกระจายเวอร์ชันเดียวกันไปยังอีก 17 แพ็กเกจในเครือ การโจมตีใช้บัญชี maintainer ที่ไว้ใจได้ผ่าน trusted-publisher (OIDC) pipeline ผู้ใช้ที่ติดตั้งควรอัปเดตเป็นเวอร์ชันสะอาด 1.20.23 และเปลี่ยนกุญแจทั้งหมดทันที

บัญชี GitHub 'ผี' อายุหลายปีถูกปลุกมากวาดข้อมูลองค์กร — Datadog เตือนแคมเปญสำรวจ repo/สมาชิก บางเคสโคลน repo ส่วนตัวสำเร็จ

Dormant GitHub ghost accounts used to enumerate corporate organizations
บริษัท Datadog เตือนหลายแคมเปญที่ทำงานทับซ้อนกัน กำลังกวาดข้อมูลองค์กร repository และบัญชีผู้ใช้บน GitHub อย่างเป็นระบบผ่าน GitHub API โดยใช้บัญชี ‘ผี’ ที่สร้างทิ้งไว้ 2-5 ปีก่อนปลุกมาใช้ รวมกับ OAuth token และ PAT ที่หลุดของผู้ใช้จริงกว่า 50 บัญชี เนื่องจากพื้นผิว API ส่วนใหญ่เข้าถึงได้โดยไม่ต้องยืนยันตัวตน คำสั่งสำรวจจึงกลืนไปกับการใช้งานปกติ ส่วนใหญ่โจมตีข้อมูลสาธารณะ แต่บางเคสถึงขั้นโคลน repository ส่วนตัวได้สำเร็จ

พบ 6 ช่องโหว่ใหม่ใน U-Boot อิมเมจอันตรายอาจทำอุปกรณ์ล่มหรือรันโค้ดตั้งแต่ตอนบูต

six new U-Boot flaws malicious images crash devices run code at boot
นักวิจัยจากบริษัท Binarly พบ 6 ช่องโหว่ใหม่ใน U-Boot โปรแกรมบูตขนาดเล็กที่ใช้ในเราเตอร์ กล้องอัจฉริยะ และชิปจัดการในเซิร์ฟเวอร์ดาต้าเซ็นเตอร์ สี่ช่องโหว่ทำอุปกรณ์ล่ม อีกสองช่องโหว่เปิดทางให้ผู้โจมตีที่สอดอิมเมจอันตรายรันโค้ดของตนก่อนอุปกรณ์ตรวจลายเซ็น โค้ดที่มีช่องโหว่ฝังใน U-Boot ตั้งแต่ v2013.07 กว่า 50 รุ่น ติดตามเป็น BRLY-2026-037 ถึง 042 ยังไม่มี CVE และยังไม่มีรุ่นแก้ไขทางการ ผู้ผลิตต้องดึงแพตช์ upstream มาใช้เอง

HalluSquatting — เทคนิคใหม่หลอก AI ผู้ช่วยเขียนโค้ดให้ติดตั้งมัลแวร์บอตเน็ต

HalluSquatting attack tricks AI coding assistants into installing botnet malware
งานวิจัยจากทีม Ben Nassi มหาวิทยาลัย Tel Aviv เผยเทคนิคโจมตีใหม่ชื่อ HalluSquatting ที่อาศัยนิสัยของ AI ผู้ช่วยเขียนโค้ดที่มัก มโน ชื่อไลบรารีหรือปลั๊กอินที่ไม่มีอยู่จริง ผู้โจมตีหาชื่อปลอมที่ AI มักคิดขึ้นซ้ำ ๆ แล้วไปจดชื่อนั้นบน GitHub หรือ marketplace พร้อมฝังคำสั่งอันตราย เมื่อผู้ใช้สั่งให้ AI ดึงทรัพยากรยอดนิยม ผู้ช่วยจะดึงของปลอมมาแทนและรันโค้ดผู้โจมตีผ่านเทอร์มินัลในตัวจนกลายเป็นบอตเน็ต ทดสอบสำเร็จกับ Cursor, Copilot, Gemini CLI และอื่น ๆ สูงสุด 85-100%

งานวิจัยเผย commit ที่ GitHub ขึ้นตรา 'Verified' ถูกเขียนใหม่ให้มีแฮชต่างได้โดยลายเซ็นยังถูกต้อง

GitHub Verified commits can be rewritten into new hashes without breaking signatures
นาย Jacob Ginesin นักวิจัยจาก Carnegie Mellon และ Cure53 เผยงานวิจัยว่าแฮชของ Git commit ที่เซ็นชื่อแล้วไม่ได้ไม่ซ้ำใครอย่างที่หลายระบบเข้าใจ ผู้ที่ไม่มีคีย์เซ็นสามารถสร้าง commit ใหม่ที่มีไฟล์ ผู้เขียน และวันที่เหมือนเดิมพร้อมลายเซ็นถูกต้อง โดย GitHub ยังขึ้นตรา Verified แต่แฮชต่างออกไป ต้นตอคือ signature malleability ที่เขียนลายเซ็นใหม่ได้หลายรูปแบบโดยโค้ดไม่เปลี่ยน กระทบระบบ blocklist, provenance log และ reproducible build ที่ยึดแฮช ไม่มี CVE และการแก้ต้องทำที่ฝั่ง forge

Cavern Manticore — กลุ่มแฮ็กเกอร์อิหร่านใช้เฟรมเวิร์ก C2 ตัวใหม่ 'Cavern' โจมตีองค์กรอิสราเอล

iran linked cavern manticore hackers use new cavern c2 framework to target israeli organizations
Check Point Research เปิดเผยว่ากลุ่มแฮ็กเกอร์อิหร่านในเครือกระทรวงข่าวกรอง (MOIS) ที่ชื่อ Cavern Manticore ใช้เฟรมเวิร์ก command-and-control ตัวใหม่ชื่อ Cavern โจมตีองค์กรไอทีและภาครัฐในอิสราเอล กลุ่มนี้อาศัยฟีเจอร์อัปเดตของ SysAid ทำ DLL side-loading โหลด Cavern Agent แล้วดึงโมดูล 5 ตัวมาขโมยไฟล์ ฐานข้อมูล และสอดแนม Active Directory จุดเด่นคือใช้รูปแบบคอมไพล์ .NET หลายชนิดเป็นเกราะกันการวิเคราะห์ มีความทับซ้อนกับ MuddyWater และ Lyceum