ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

5 ข่าว

แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub

North Korean hackers UNK_DeadDrop malware campaign targeting developers via VS Code
นักวิจัยจาก Proofpoint เปิดโปงแคมเปญ UNK_DeadDrop ที่เชื่อมโยงกับเกาหลีเหนือ โจมตีนักพัฒนาในเกือบ 100 องค์กรด้วยอีเมลฟิชชิงหลอกให้โคลน GitHub Repository อันตรายแล้วเปิดใน VS Code ซึ่งจะรันมัลแวร์อัตโนมัติทั้งบน Windows, macOS และ Linux พร้อมกันนี้ยังพบ VS Code Extension ที่เป็น Backdoor บน Marketplace อย่างเป็นทางการอีกด้วย

One-Click GitHub.dev — แค่คลิกลิงก์เดียว แฮ็กเกอร์ขโมย GitHub OAuth Token เข้าถึง repo ส่วนตัวทั้งหมด

One-click GitHub dev attack lets attackers steal full GitHub OAuth tokens
นักวิจัยเปิดเผยการโจมตีแบบ one-click ผ่าน VS Code บน GitHub.dev ที่ขโมย GitHub OAuth token ของผู้ใช้ได้เพียงคลิกลิงก์เดียว token นี้ไม่ได้จำกัดสิทธิ์เฉพาะ repo เดียว แต่เข้าถึงทุก repo ที่เหยื่อมีสิทธิ์ รวมถึง repo ส่วนตัว ผู้โจมตีใช้ extension VS Code อันตรายผ่านกลไก message-passing ระหว่างหน้าต่างหลักกับ webview จำลองการกดปุ่มเปิด Command Palette ติดตั้ง extension ที่ข้าม publisher trust GitHub ได้รับแจ้งวันที่ 2 มิ.ย. 2569 Microsoft กำลังแก้ไข ไม่กระทบ VS Code Desktop

VS Code Remote-SSH ช่องโหว่ RCE — ผู้โจมตีเด้งจากเครื่องนักพัฒนาเข้าสู่เซิร์ฟเวอร์คลาวด์ได้ MFA ไม่ช่วย

VS Code Remote-SSH RCE pivot from developer machine to cloud servers
นักวิจัยเปิดเผยช่องโหว่ใน extension Remote-SSH ของ Visual Studio Code ที่เปิดทางให้ผู้โจมตีซึ่งยึดเครื่องนักพัฒนาได้แล้ว เด้งต่อเข้าสู่สภาพแวดล้อมคลาวด์และ production VS Code สร้างสคริปต์ bootstrap ไว้ในไดเรกทอรีชั่วคราวที่ผู้ใช้เขียนได้ โดยไม่มีการตรวจสอบความถูกต้องหรือลายเซ็น เกิดเป็น race condition แบบ TOCTOU ผู้โจมตีแทรกเพย์โหลดก่อนสคริปต์ถูกรันบนเซิร์ฟเวอร์ปลายทาง การโจมตีเกิดหลังล็อกอินสำเร็จจึงทำให้ MFA ไม่ช่วย กระทบ extension รวมกว่า 76 ล้านการติดตั้ง

ทลาย GlassWorm — CrowdStrike ปิด C2 ทั้ง 4 ช่องพร้อมกัน หยุดมัลแวร์ Supply Chain ที่ซ่อน C2 ในบล็อกเชน Solana

GlassWorm malware supply chain takedown CrowdStrike disrupts C2 infrastructure Solana blockchain BitTorrent
CrowdStrike ร่วมกับ Google และ Shadowserver Foundation ปิด C2 infrastructure ทั้ง 4 ช่องของ GlassWorm พร้อมกัน มัลแวร์ตัวนี้โจมตี developer ผ่าน VS Code extension ปลอม, npm และ Python package เป็นเวลากว่าหนึ่งปี ปนเปื้อน GitHub repository กว่า 300 แห่งด้วย credential ที่ขโมยมา โดดเด่นด้วยการซ่อน C2 address ไว้บน Solana blockchain, BitTorrent DHT และ Google Calendar เพื่อต้านการถูก Takedown

Nx Console 18.95.0 ถูกฝังมัลแวร์ขโมยข้อมูล — โจมตีนักพัฒนา VS Code กว่า 2.2 ล้านราย

Nx Console VS Code extension supply chain attack
ส่วนขยาย Nx Console เวอร์ชัน 18.95.0 บน VS Code Marketplace ถูกฝังมัลแวร์ขโมย Credential หลังจากเครื่องนักพัฒนาถูกเจาะและ GitHub Credentials รั่วไหล ผู้โจมตีใช้ Orphan Commit ซ่อน Payload ขนาด 498 KB ในที่เก็บโค้ดอย่างเป็นทางการ มัลแวร์ทำงานทันทีที่เปิด Workspace และขโมยข้อมูลผ่าน HTTPS, GitHub API และ DNS Tunneling