เครื่องมือโอเพนซอร์ส และใช้งานได้หลายแพลตฟอร์มตัวใหม่ที่ชื่อว่า Tirith สามารถตรวจจับการโจมตีแบบ Homoglyph ใน environments แบบ Command-line โดยตัวเครื่องมือจะวิเคราะห์ URL ในคำสั่งที่พิมพ์ลงไป และสั่งระงับการทำงานหากพบความผิดปกติ

เครื่องมือนี้ มีให้ใช้งานบน GitHub และในรูปแบบแพ็กเกจ npm โดยหลักการทำงานคือการเชื่อมต่อเข้ากับ shell ของผู้ใช้ (ไม่ว่าจะเป็น zsh, bash, fish หรือ PowerShell) เพื่อตรวจสอบทุก ๆ คำสั่งที่ผู้ใช้คัดลอกมาวางเพื่อเรียกใช้งาน

(more…)

ผู้ให้บริการ Payment Gateway และโซลูชันการชำระเงินรายใหญ่ของสหรัฐฯ เปิดเผยว่า การโจมตีด้วย Ransomware ส่งผลให้ระบบสำคัญหลายส่วนต้องหยุดทำงาน และก่อให้เกิดเหตุระบบล่มเป็นวงกว้าง ซึ่งส่งผลกระทบต่อหลายบริการ

เหตุการณ์เริ่มต้นขึ้นเมื่อวันศุกร์ที่ผ่านมา และได้ลุกลามอย่างรวดเร็วจนส่งผลให้เกิดการหยุดชะงักทั่วประเทศบนแพลตฟอร์มของ BridgePay

(more…)

ทีมตอบสนองภัยคุกคามทางคอมพิวเตอร์ของยูเครน (CERT) ระบุว่า แฮ็กเกอร์ชาวรัสเซียกำลังใช้ประโยชน์จากช่องโหว่ CVE-2026-21509 ซึ่งเป็นช่องโหว่ใน Microsoft Office หลายเวอร์ชันที่เพิ่งได้รับการออกแพตช์แก้ไขไปเมื่อเร็ว ๆ นี้

เมื่อวันที่ 26 มกราคม Microsoft ได้ปล่อยอัปเดตความปลอดภัยฉุกเฉิน โดยระบุว่า CVE-2026-21509 เป็นช่องโหว่แบบ Zero-day ที่กำลังถูกนำไปใช้ในการโจมตีอย่างแพร่หลาย

(more…)

แฮ็กเกอร์กำลังใช้งาน kernel driver ของ EnCase ซึ่งเป็นไดรเวอร์ที่ถูกต้องแต่ถูกเพิกถอนสิทธิ์ไปนานแล้ว โดยนำมาใช้ในเครื่องมือประเภท EDR killer ที่สามารถตรวจจับเครื่องมือรักษาความปลอดภัยได้ถึง 59 ชนิด เพื่อพยายามปิดการทำงานของพวกมัน (more…)

Amaranth Dragon กลุ่มแฮ็กเกอร์กลุ่มใหม่ที่มีความเชื่อมโยงกับกลุ่ม APT41 ซึ่งเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลจีน ได้ทำการโจมตีระบบโดยใช้การโจมตีจากช่องโหว่ CVE-2025-8088 ในโปรแกรม WinRAR เพื่อสอดแนมข้อมูลของหน่วยงานรัฐบาล และหน่วยงานบังคับใช้กฎหมาย (more…)

แฮ็กเกอร์กำลังมุ่งเป้าไปที่กลุ่มนักพัฒนาโดยใช้ช่องโหว่ระดับ Critical หมายเลข CVE-2025-11953 ใน Metro server ของ React Native เพื่อฝัง Payloads ที่เป็นอันตรายเข้าสู่ระบบปฏิบัติการ Windows และ Linux

บน Windows ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนจะสามารถใช้ช่องโหว่ดังกล่าวเพื่อรันคำสั่งใด ๆ บน OS ก็ได้ผ่าน POST request ส่วนบน Linux และ macOS ช่องโหว่นี้อาจนำไปสู่การรันไฟล์โปรแกรมใด ๆ ก็ตาม แต่จะมีการจำกัดการควบคุม Parameter บางส่วน

Metro คือ JavaScript bundler ที่เป็นค่า Default สำหรับโปรเจกต์ React Native และเป็นเครื่องมือสำคัญสำหรับการสร้าง และรันแอปพลิเคชันในช่วงระหว่างการพัฒนา

โดยค่า Default ของ Metro สามารถเชื่อมต่อกับ Interfaces เครือข่ายภายนอก และเปิดให้เข้าถึง HTTP endpoints ที่ออกแบบมาสำหรับขั้นตอนการพัฒนาเท่านั้น (เช่น /open-url) เพื่อให้ใช้งานแบบ Local ได้

นักวิจัยจาก JFrog บริษัทด้านความปลอดภัยของ Supply-chain ซอฟต์แวร์ ได้ค้นพบช่องโหว่ดังกล่าว และออกมาเปิดเผยเมื่อต้นเดือนพฤศจิกายนที่ผ่านมา ซึ่งหลังจากที่มีการเปิดเผยข้อมูลต่อสาธารณะ ก็เริ่มมีการปล่อยโค้ด Proof-of-Concept exploits ออกมาหลายตัว

ในบทความที่เผยแพร่ระบุว่า ต้นตอของปัญหาอยู่ที่ endpoint /open-url นั้นยอมรับคำสั่งแบบ POST request ที่แนบค่า URL ซึ่งผู้ใช้ป้อนเข้ามา และค่าเหล่านั้นถูกส่งต่อไปประมวลผลในฟังก์ชัน open() โดยไม่ผ่านการตรวจสอบความปลอดภัยเสียก่อน

ช่องโหว่ดังกล่าวส่งผลกระทบต่อแพ็กเกจ @react-native-community/cli-server-api ตั้งแต่เวอร์ชัน 4.8.0 ถึง 20.0.0-alpha.

CISA ออกมายืนยันว่าพบกลุ่ม Ransomware ได้เริ่มใช้ช่องโหว่ VMware ESXi sandbox escape ที่มีระดับความรุนแรงสูงในการโจมตี โดยก่อนหน้านี้ได้เคยถูกใช้ในการโจมตีแบบ Zero-Day มาก่อนแล้ว

Broadcom ได้แก้ไขช่องโหว่ ESXi arbitrary-write (CVE-2025-22225) ในเดือนมีนาคม 2025 พร้อมกับช่องโหว่ memory leak (CVE-2025-22226) และช่องโหว่ TOCTOU (CVE-2025-22224) และช่องโหว่เหล่านี้ทั้งหมด ถูกระบุว่าเป็นช่องโหว่ที่เคยถูกนำไปใช้ในการโจมตีมาก่อนแล้ว

Broadcom ระบุเกี่ยวกับช่องโหว่ CVE-2025-22225 ไว้ว่า "Hacker ที่มีสิทธิ์ใน VMX process อาจทำให้เกิดการเขียนข้อมูลลงใน kernel ซึ่งนำไปสู่การ escape จาก sandbox ได้"

Broadcom ระบุว่า ช่องโหว่ทั้งสามรายการ ส่งผลกระทบต่อผลิตภัณฑ์ VMware ESX รวมถึง VMware ESXi, Fusion, Cloud Foundation, vSphere, Workstation และ Telco Cloud Platform และ Hacker ที่มีสิทธิ์ผู้ดูแลระบบ หรือสิทธิ์ root สามารถใช้ช่องโหว่เหล่านี้ร่วมกันเพื่อ escape จาก sandbox ของ virtual machine ได้

จากรายงานที่เผยแพร่เมื่อเดือนมกราคม 2026 Huntress บริษัทด้านความปลอดภัยทางไซเบอร์ระบุว่า Hacker จากจีน น่าจะใช้ช่องโหว่เหล่านี้ร่วมกันในการโจมตีแบบ Zero-Day ที่มีความซับซ้อนมาตั้งแต่เดือนกุมภาพันธ์ 2024 เป็นอย่างน้อย

กำลังถูกใช้ในการโจมตีด้วย Ransomware

ในการอัปเดตที่ผ่านมาเกี่ยวกับรายการช่องโหว่ที่ถูกใช้โจมตีในวงกว้าง หน่วยงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ระบุว่า ช่องโหว่ CVE-2025-22225 ได้ถูกนำไปใช้ในแคมเปญ Ransomware แล้ว แต่ไม่ได้ให้รายละเอียดเพิ่มเติมเกี่ยวกับการโจมตีที่กำลังดำเนินอยู่เหล่านี้

CISA ได้เพิ่มช่องโหว่เหล่านี้ลงใน Known Exploited Vulnerabilities (KEV) catalog เป็นครั้งแรกในเดือนมีนาคม 2025 และสั่งให้หน่วยงานของรัฐบาลกลางรักษาความปลอดภัยระบบของตนภายในวันที่ 25 มีนาคม 2025 ตามที่กำหนดไว้ในคำสั่งปฏิบัติการผูกพัน (BOD) 22-01

กลุ่ม Ransomware และกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาล มักจะกำหนดเป้าหมายการโจมตีไปยังช่องโหว่ของ VMware เนื่องจากผลิตภัณฑ์ VMware ถูกนำไปใช้อย่างแพร่หลายในระบบขององค์กรซึ่งมักจัดเก็บข้อมูลสำคัญของบริษัท

ตัวอย่างเช่น ในเดือนตุลาคม 2025 CISA ได้สั่งให้หน่วยงานรัฐบาลแก้ไขช่องโหว่ระดับความรุนแรงสูง (CVE-2025-41244) ในซอฟต์แวร์ VMware Aria Operations และ VMware Tools ของ Broadcom ซึ่ง Hacker จากจีนได้ใช้ในการโจมตีแบบ Zero-Day มาตั้งแต่เดือนตุลาคม 2024

รวมถึงเมื่อเร็ว ๆ นี้ CISA ยังได้ระบุช่องโหว่ที่สำคัญของ VMware vCenter Server (CVE-2024-37079) ว่ากำลังถูกใช้ในการโจมตีอย่างแพร่หลายในเดือนมกราคม 2026 และสั่งให้หน่วยงานรัฐบาลกลางรักษาความปลอดภัยเซิร์ฟเวอร์ของตนภายในวันที่ 13 กุมภาพันธ์ 2026

อีกทั้ง GreyNoise บริษัทด้านความปลอดภัยทางไซเบอร์รายงานว่า ทาง CISA ได้ระบุช่องโหว่ด้านความปลอดภัยที่ทราบกันว่ากำลังถูกนำไปใช้ในการโจมตีจากแคมเปญ Ransomware เมื่อปีที่แล้วเพียงปีเดียวถึง 59 รายการ

ที่มา : bleepingcomputer

หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา หรือ CISA ได้สั่งการให้หน่วยงานรัฐบาลเร่งอัปเดตระบบ เพื่อปิดช่องโหว่ของ GitLab ที่มีอายุมากกว่า 5 ปี หลังพบว่ากำลังถูกใช้ในการโจมตีอยู่ในขณะนี้ (more…)

มีการตรวจพบแพ็กเกจอันตรายกว่า 230 รายการ สำหรับ AI assistant ส่วนตัวที่ชื่อว่า OpenClaw (เดิมรู้จักกันในชื่อ Moltbot และ ClawdBot) โดยถูกเผยแพร่บน Registry อย่างเป็นทางการของเครื่องมือดังกล่าว และบน GitHub ภายในเวลาไม่ถึงหนึ่งสัปดาห์ (more…)

การโจมตีด้วยมัลแวร์ GlassWorm รูปแบบใหม่ผ่านทาง Extensions ของ OpenVSX ที่ถูกโจมตีระบบ โดยมุ่งเน้นไปที่การขโมยรหัสผ่าน, ข้อมูล Crypto-wallet, รวมถึงข้อมูล Credentials และ Configurations ต่าง ๆ ของนักพัฒนาจากระบบ macOS (more…)