จากรายงานผลการตรวจสอบ และรับมือเหตุการณ์ของ Mandiant พบว่า มีการใช้ช่องโหว่ Zero-Day ที่เพิ่งเปิดเผยใหม่ในระบบ Learning Management System (LMS) ของ KnowledgeDeliver ไปใช้ในการโจมตีจริงเพื่อติดตั้ง Web shell แบบ In-Memory ที่ชื่อว่า BLUEBEAM

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2026-5426 ซึ่งทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน (Remote Code Execution) และส่งผลกระทบต่อระบบที่มีการตั้งค่า ASP.NET ตามค่า Default ก่อนวันที่ 24 กุมภาพันธ์ 2026

KnowledgeDeliver ซึ่งพัฒนาโดยบริษัท Digital Knowledge ในประเทศญี่ปุ่น เป็นระบบที่ถูกใช้งานกันอย่างแพร่หลายทั้งในระดับองค์กร และสถาบันการศึกษา การสืบสวนของ Mandiant ต่อเหตุการณ์การโจมตีในช่วงปลายปี 2025 เผยให้เห็นว่าสาเหตุของการถูกโจมตีนั้นมาจากแนวทางปฏิบัติด้านการเข้ารหัสที่ไม่ปลอดภัย โดยเฉพาะการนำ Machine Key ของ ASP.NET ที่เหมือนกันมาใช้ซ้ำในระบบของลูกค้าหลายราย

Keys เหล่านี้มีหน้าที่ในการรักษาความปลอดภัยของข้อมูล ViewState ซึ่งเป็นกลไกที่ใช้สำหรับรักษาสถานะของหน้าเว็บเพจในระหว่างที่มีการส่ง Request ในแอปพลิเคชัน ASP.NET

ช่องโหว่ Zero-Day ของ KnowledgeDeliver LMS ถูกนำไปใช้ในการโจมตี

เนื่องจากค่า machineKey ถูกฝังไว้แบบ Hardcoded และถูกใช้งานร่วมกัน ผู้โจมตีที่ได้ Keys เหล่านี้จากเซิร์ฟเวอร์ใดเซิร์ฟเวอร์หนึ่ง จึงสามารถสร้าง Payload ที่เป็นอันตรายของ ViewState และนำไปใช้ซ้ำเพื่อโจมตีเซิร์ฟเวอร์อื่น ๆ ที่ใช้งาน Keys เดียวกันได้

ด้วยการสร้าง Payload แบบ Serialized และส่งผ่านพารามิเตอร์ __VIEWSTATE ใน HTTP Request ผู้โจมตีสามารถบังคับให้เซิร์ฟเวอร์ทำการ Deserialize โดยใช้ข้อมูลที่ไม่น่าเชื่อถือ ซึ่งส่งผลให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ได้สำเร็จ

รูปแบบการโจมตีแบบ Attack chain นี้ คล้ายคลึงอย่างมากกับการโจมตีแบบ ViewState Deserialization ที่เคยมีรายงานก่อนหน้านี้บนแพลตฟอร์มอย่าง Sitecore รวมถึงแคมเปญการโจมตีก่อนหน้าที่ Microsoft เคยเน้นย้ำซึ่งเกี่ยวข้องกับการรั่วไหลของ Machine Key

หลังจากที่โจมตีเข้าสู่ระบบในเบื้องต้นได้สำเร็จ ผู้โจมตีได้ทำการฝัง BLUEBEAM ซึ่งเป็น Web shell ที่ทำงานบน .NET (หรือที่รู้จักกันในชื่อ Godzilla) แตกต่างจาก Web shell แบบเดิมที่ต้องอาศัยไฟล์ที่จัดเก็บไว้ใน Disk เพราะ BLUEBEAM จะทำงานในหน่วยความจำทั้งหมดภายใต้โปรเซส IIS worker (w3wp.

GitHub ได้เปิดตัวระบบควบคุมใหม่สำหรับ npm เพื่อยกระดับความปลอดภัยของ software supply chain โดยให้สิทธิ์ Maintainers ต้องอนุมัติการเผยแพร่ ก่อนที่แพ็กเกจเหล่านั้นจะถูกเปิดสู่สาธารณะเพื่อให้บุคคลทั่วไปติดตั้งได้

ฟีเจอร์นี้มีชื่อว่า Staged publishing ซึ่งปัจจุบันเปิดให้ใช้งานทั่วไปแล้วบน npm โดยระบบจะบังคับให้ผู้ดูแลแพ็กเกจ (ที่เป็นมนุษย์) ต้องผ่านการยืนยันตัวตนแบบ 2FA เพื่ออนุมัติแพ็กเกจ ก่อนที่แพ็กเกจนั้นจะถูกเผยแพร่ขึ้นไปยังเว็บ npmjs[.]com

GitHub ระบุว่า แทนที่จะเป็นการเผยแพร่โดยตรงซึ่งทำให้ผู้ใช้งานสามารถนำแพ็กเกจเวอร์ชันนั้นไปใช้งานได้ทันที ไฟล์ tarball ที่ prebuilt จะถูกอัปโหลดไปพักไว้ใน stage queue ก่อน ซึ่งผู้ดูแลจะต้องทำการอนุมัติเสียก่อน แพ็กเกจนั้นจึงจะสามารถนำไปติดตั้งได้

GitHub ระบุว่า การเปลี่ยนแปลงนี้ช่วยรับประกันการยืนยันตัวตนว่ามีบุคคลอยู่จริงสำหรับทุก ๆ การเผยแพร่ ซึ่งรวมถึงการเผยแพร่ที่มาจากกระบวนการ CI/CD แบบ Non-interactive และการเผยแพร่ที่ Trusted publishing ผ่านการยืนยันตัวตนด้วยระบบ OpenID Connect (OIDC)

ก่อนที่จะใช้งานระบบ Staged publishing ผู้ดูแลแพ็กเกจจะต้องมีคุณสมบัติตรงตามเกณฑ์ดังต่อไปนี้ :

มีสิทธิ์ในการ Publish สำหรับแพ็กเกจนั้น
แพ็กเกจนั้นจะต้องมีอยู่แล้วบน npm registry ซึ่งหมายความว่าแพ็กเกจที่สร้างขึ้นมาใหม่เลย จะไม่สามารถใช้งานระบบ Staged ได้
บัญชีผู้ใช้เปิดใช้งานระบบ 2FA แล้ว

นักพัฒนาสามารถใช้คำสั่ง npm stage publish จาก Root directory ของแพ็กเกจ เพื่อส่งแพ็กเกจนั้นเข้าสู่ Staging area ได้ โดยในการใช้งานคำสั่งนี้ จำเป็นอย่างยิ่งที่จะต้องอัปเดต npm CLI ให้เป็นเวอร์ชัน 11.15.0 หรือใหม่กว่า นอกจากนี้ เพื่อการป้องกันที่มีประสิทธิภาพสูงสุด GitHub แนะนำให้ใช้งานระบบ Staged publishing ควบคู่ไปกับ Trusted publishing โดยใช้ OIDC

--allow-file: ควบคุมการติดตั้งจาก Local file paths และไฟล์ tarball ในเครื่อง
--allow-remote: ควบคุมการติดตั้งจาก Remote URLs รวมถึงไฟล์ tarball ผ่านลิงก์ https
--allow-directory: ควบคุมการติดตั้งจากไดเรกทอรีภายในเครื่อง

GitHub ระบุว่า flag เหล่านี้ช่วยให้นักพัฒนาสามารถใช้วิธีการกำหนดรายการ Explicit-allowlist แบบเดียวกันนี้ กับทุก ๆ แหล่งการติดตั้งที่ไม่ได้มาจาก Registry ของ npm โดยตรงได้

การพัฒนาในครั้งนี้เกิดขึ้นท่ามกลางการโจมตี Software supply chain attacks ที่พุ่งสูงขึ้นอย่างมาก ซึ่งมุ่งเป้าไปที่ระบบนิเวศของโอเพนซอร์สในช่วงไม่กี่เดือนที่ผ่านมา โดยมีกลุ่มอาชญากรไซเบอร์กลุ่มหนึ่งที่ชื่อว่า TeamPCP ได้โจมตีแพ็กเกจยอดนิยมในระดับที่ไม่เคยมีมาก่อน ผ่านการเจาะระบบที่สามารถแพร่กระจาย และดำเนินต่อไปได้ด้วยตัวมันเอง

ที่มา : thehackernews

CISA ได้ออกประกาศแจ้งเตือนเร่งด่วนเกี่ยวกับช่องโหว่ความปลอดภัยระดับ critical ประเภท SQL Injection ใน Drupal ภายใต้หมายเลข CVE-2026-9082 ซึ่งในขณะนี้กำลังถูกนำไปใช้โจมตีจริงอย่างแพร่หลาย (more…)

แคมเปญการโจมตี Supply Chain Attack ครั้งใหม่ในชื่อ TrapDoor ซึ่งเป็นการโจมตีที่กำลังดำเนินอยู่ โดยมีการปล่อยแพ็กเกจอันตราย 34 รายการ และเวอร์ชันที่เกี่ยวข้องกว่า 384 เวอร์ชัน กระจายบน npm, PyPI และ Crates.

Wireshark ได้เปิดตัว Wireshark เวอร์ชัน 4.6.6 เพื่อแก้ไขช่องโหว่ความปลอดภัยระดับ Critical ในส่วนของ ROHC protocol dissector ซึ่งอาจทำให้ผู้โจมตีสามารถทำให้แอปพลิเคชันหยุดทำงานได้ ด้วยการทำ Packet Injection หรือ Malformed Packet นอกจากนี้ การอัปเดตดังกล่าวยังช่วยแก้ไข Bug ด้านความเสถียร และความเข้ากันได้ของระบบมากกว่าสิบรายการที่ส่งผลกระทบต่อผู้ใช้งาน Windows (more…)

Trend Micro บริษัทซอฟต์แวร์ด้านความปลอดภัยทางไซเบอร์ของญี่ปุ่น ออกมาแจ้งเตือนช่องโหว่ Zero-day ใน Apex One ที่กำลังถูกนำมาใช้ในการโจมตีบน Windows

Apex One คือ enterprise-grade endpoint security platform ของ Trend Micro ที่สามารถป้องกันภัยคุกคามด้านความปลอดภัยทางไซเบอร์หลากหลายรูปแบบ รวมถึง malware, ransomware, fileless attacks และการโจมตีแบบ web-based (more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้แจ้งเตือนถึงแคมเปญการโจมตีแบบ Software Supply Chain Attack ครั้งใหม่ ซึ่งมุ่งเป้าไปที่แพ็กเกจ PHP หลายตัวของ Laravel-Lang เพื่อใช้ปล่อย Framework สำหรับ Credential Stealer แบบครบวงจร

(more…)

เมื่อวันศุกร์ที่ผ่านมา Anthropic เปิดเผยว่า Project Glasswing ได้ช่วยค้นพบช่องโหว่ที่มีความรุนแรงระดับสูง หรือระดับ Critical มากกว่า 10,000 รายการ ในกลุ่มซอฟต์แวร์ระดับโลกที่มีความสำคัญเชิงระบบอย่างมาก นับตั้งแต่โครงการด้านความปลอดภัยทางไซเบอร์ดังกล่าวเริ่มดำเนินการเมื่อเดือนที่ผ่านมา

(more…)

มีการโจมตีครั้งใหญ่โดยใช้ช่องโหว่การโจมตีแบบ SQL injection ระดับ critical (CVE-2026-26980) ใน Ghost CMS เพื่อแทรกโค้ด JavaScript ที่เป็นอันตราย ซึ่งจะทำให้เกิดการโจมตีด้วย ClickFix flows ตามมา

(more…)

ผู้ไม่หวังดีได้ทำการ Brute-force VPN และ Bypass ผ่านระบบการยืนยันตัวตนแบบ MFA บนอุปกรณ์ SonicWall Gen6 SSL-VPN เพื่อนำไปสู่การติดตั้งเครื่องมือที่ใช้ในการโจมตีด้วยแรนซัมแวร์ได้ (more…)