ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

60 ข่าว

พบปลั๊กอิน JetBrains ปลอม 15 ตัวขโมย API Key ของ AI — ส่วนเสริม Chrome แอบดักบทสนทนา ChatGPT, Claude และ Gemini

Malicious JetBrains plugins stealing AI API keys and Chrome extensions capturing chatbot conversations
นักวิจัยจากบริษัท Aikido Security เปิดโปงแคมเปญมัลแวร์บน JetBrains Marketplace จำนวน 15 ปลั๊กอิน ปลอมตัวเป็น AI coding assistant แต่แอบส่ง API key ของผู้ใช้ไปยังเซิร์ฟเวอร์ผู้โจมตี ขณะเดียวกันพบส่วนเสริม Chrome อีก 2 ตัวที่แฝงฟีเจอร์ดักจับบทสนทนา AI chatbot ทั้ง 8 แพลตฟอร์มรวมถึง ChatGPT และ Claude โดยรวมมีผู้ดาวน์โหลดกว่า 150,000 ราย

แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub

North Korean hackers UNK_DeadDrop malware campaign targeting developers via VS Code
นักวิจัยจาก Proofpoint เปิดโปงแคมเปญ UNK_DeadDrop ที่เชื่อมโยงกับเกาหลีเหนือ โจมตีนักพัฒนาในเกือบ 100 องค์กรด้วยอีเมลฟิชชิงหลอกให้โคลน GitHub Repository อันตรายแล้วเปิดใน VS Code ซึ่งจะรันมัลแวร์อัตโนมัติทั้งบน Windows, macOS และ Linux พร้อมกันนี้ยังพบ VS Code Extension ที่เป็น Backdoor บน Marketplace อย่างเป็นทางการอีกด้วย

Agentjacking — การโจมตีรูปแบบใหม่หลอก AI Coding Agent ให้รันโค้ดอันตรายผ่าน Sentry ปลอม สำเร็จ 85% ในการทดสอบ

Agentjacking attack tricks AI coding agents into running malicious code via Sentry
นักวิจัยจากบริษัท Tenet Security เปิดเผยการโจมตีรูปแบบใหม่ชื่อ Agentjacking ที่ฉีด payload อันตรายเข้าไปใน Sentry error event แล้วหลอกให้ AI coding agent อย่าง Claude Code และ Cursor รันโค้ดมุ่งร้ายบนเครื่องนักพัฒนา ทดสอบกับกว่า 100 องค์กรพบอัตราสำเร็จ 85% โดย Sentry ยอมรับปัญหาแต่ระบุว่าไม่สามารถแก้ไขในเชิงเทคนิคได้

npm 12 จะบล็อกการรันสคริปต์จาก dependency โดยอัตโนมัติ — ตอบโต้คลื่นโจมตี Supply Chain ที่ถล่มอีโคซิสเต็ม

npm 12 will change script execution behavior to prevent supply chain attacks
GitHub ประกาศว่า npm เวอร์ชัน 12 ที่คาดว่าจะออกในเดือนกรกฎาคมจะเปลี่ยนพฤติกรรมสำคัญ โดย npm install จะไม่รันสคริปต์ preinstall, install หรือ postinstall จาก dependency อีกต่อไป ยกเว้นได้รับอนุญาตอย่างชัดแจ้ง เพื่อปิดช่องทางโจมตี supply chain ที่ถูกใช้ในเหตุการณ์ใหญ่หลายครั้งช่วงที่ผ่านมา

OceanLotus โจมตีนักลงทุนเวียดนามผ่าน Supply Chain ฝังแบ็กดอร์ SPECTRALVIPER ในซอฟต์แวร์หุ้น FireAnt Metakit

OceanLotus SPECTRALVIPER supply chain attack on Vietnam
กลุ่ม OceanLotus (APT32) เปลี่ยนเป้าจากต่างชาติมาจารกรรมคนในเวียดนามเอง โดยใช้ supply chain attack ฝังแบ็กดอร์ SPECTRALVIPER ผ่านระบบอัปเดตของซอฟต์แวร์หุ้น FireAnt Metakit ที่นักลงทุนเวียดนามใช้กันแพร่หลาย อีกแคมเปญของ OceanLotus คือ เจาะระบบบริษัทก่อสร้างโครงสร้างพื้นฐานเวียดนามนานกว่า 1 ปี ด้าน ESET ระบุว่าเป็นการเปลี่ยนแปลงทิศทางปฏิบัติการครั้งสำคัญของกลุ่มนี้

แพ็กเกจ Arch Linux AUR กว่า 400 รายการถูกยึด — ฝัง Rust Credential Stealer และ eBPF Rootkit ขโมยข้อมูลผ่าน Tor

Arch Linux AUR packages hijacked credential stealer rootkit
ผู้โจมตียึดแพ็กเกจที่ถูกละทิ้งกว่า 400 รายการบน Arch User Repository (AUR) แล้วแก้ไข PKGBUILD ให้ดาวน์โหลดมัลแวร์ขโมยข้อมูลเขียนด้วย Rust พร้อม eBPF rootkit เพิ่มเติม มัลแวร์ขโมยข้อมูลเบราว์เซอร์ SSH key โทเคน GitHub/npm/Slack/Discord/Teams และข้อมูล Docker ส่งผ่าน Tor Sonatype ติดตามเป็น Sonatype-2026-003775 ความรุนแรง CVSS 8.7

Shai-Hulud โจมตี PyPI สายวิทยาศาสตร์ — เจาะ 19 แพ็กเกจ bioinformatics ขโมยความลับนักพัฒนาผ่าน .pth ทริกเกอร์ Bun runtime

Shai-Hulud trojanizes 19 science-focused PyPI packages stealing developer secrets
บริษัท Socket เผยแคมเปญใหม่ของ Shai-Hulud โจมตี PyPI เจาะ 19 แพ็กเกจสายชีวสารสนเทศ Dynamo Spateo CoolBox U-FISH และ Napari-UFISH ออก 37 รีลีสมุ่งร้ายจาก maintainer เดียว ใช้ไฟล์ .pth ที่ Python เปิดเองตอน start เพื่อโหลด Bun runtime จาก GitHub แล้วรัน _index.js ขโมย GitHub token ความลับ AWS GCP Azure SSH key Docker .env และ Claude/MCP configuration

Emphere ระดมทุน 2.1 ล้านดอลลาร์ — สร้าง AI แก้ช่องโหว่อัตโนมัติ วิเคราะห์ dependency graph แล้วแพตช์เองโดยไม่พังระบบ

Emphere raises 2.1 million for AI-powered vulnerability remediation
Emphere สตาร์ทอัปจากซีแอตเทิลระดมทุน pre-seed 2.1 ล้านดอลลาร์จาก AI2 Incubator และ Outsiders Fund เพื่อพัฒนาแพลตฟอร์มแก้ช่องโหว่อัตโนมัติด้วย AI แนวทางของบริษัทตอบโจทย์ยุคที่ซอฟต์แวร์ประกอบจากแพ็กเกจโอเพนซอร์ส dependency และ OS layer แพลตฟอร์มจะวิเคราะห์ dependency graph เพื่อเข้าใจว่าช่องโหว่ใดถูกโจมตีได้จริง แล้วลงมือแพตช์ ตรวจสอบ และส่งผลลัพธ์อัตโนมัติโดยไม่ทำให้ระบบปลายน้ำพังหรือถูกเครื่องมือความปลอดภัยบล็อก

Miasma Worm เจาะ 73 รีโพ GitHub ของ Microsoft — กระทบ Azure, durabletask ฝังpayload ลวง AI Coding Tool ให้รันเอง

Miasma worm hits 73 Microsoft GitHub repositories
เวิร์ม Miasma ลามเข้าสู่รีโพ GitHub ของ Microsoft ถึง 73 รายการใน 4 องค์กร ทั้ง Azure, Azure-Samples, Microsoft และ MicrosoftDocs จน GitHub ต้องปิดการเข้าถึง จุดน่ากังวลคือการเจาะ durabletask ซ้ำที่เคยถูก TeamPCP เล่นงานเมื่อเดือนก่อน บ่งชี้ว่า credential อาจไม่เคยถูกกู้คืนเต็มที่ Miasma ยังฝัง payload 4.3MB ที่สั่งให้รันอัตโนมัติผ่าน Claude Code, Gemini CLI, Cursor และ VS Code เมื่อนักพัฒนาเปิดรีโพ สะท้อนช่องโหว่ของ trust model ในระบบโอเพนซอร์ส

Miasma Worm เจาะบัญชี GitHub Red Hat — ปนเปื้อน 32 แพ็กเกจ npm ดาวน์โหลด 117,000 ครั้ง/สัปดาห์ ขโมย AWS, Azure, GCP Token

Miasma malware Red Hat npm packages GitHub account supply chain attack
แฮ็กเกอร์เจาะบัญชี GitHub ของพนักงาน Red Hat และใช้ OIDC token ปล่อยมัลแวร์ Miasma เข้าสู่ 32 แพ็กเกจ npm ใน namespace @redhat-cloud-services ซึ่งมียอดดาวน์โหลดสูงถึง 117,000 ครั้งต่อสัปดาห์ มัลแวร์เป็น worm แพร่ตัวเองโดยขโมย cloud token ของ AWS, Azure, GCP รวมถึง API key ของ Claude และ Gemini นักพัฒนาที่ใช้แพ็กเกจเหล่านี้ต้องตรวจสอบ lockfile และ rotate credentials ด่วน