กลุ่มผู้โจมตีกำลังมุ่งเป้าไปที่องค์กรในกลุ่มเทคโนโลยี, การผลิต และการเงิน ด้วยแคมเปญที่ผสมผสานระหว่าง Device Code Phishing และ voice phishing (Vishing) เพื่อใช้ประโยชน์จากขั้นตอนการอนุญาตอุปกรณ์ OAuth 2.0 เพื่อเข้ายึดครองบัญชี Microsoft Entra

โดยแตกต่างจากการโจมตีครั้งก่อน ๆ ที่ใช้แอปพลิเคชัน OAuth ที่เป็นอันตรายเพื่อยึดบัญชี การโจมตีครั้งนี้มีการใช้ Client ID ของ Microsoft OAuth ที่ถูกต้องร่วมกับขั้นตอนการอนุญาตอุปกรณ์เพื่อหลอกล่อเหยื่อให้ยืนยันตัวตน

วิธีการนี้ช่วยให้ผู้โจมตีได้รับโทเค็นการยืนยันตัวตน ซึ่งสามารถใช้เข้าถึงบัญชีของเหยื่อได้โดยตรง โดยไม่ต้องพึ่งพาหน้าเว็บไซต์ฟิชชิงทั่วไปที่ใช้ขโมยรหัสผ่าน หรือการดักจับรหัส Multi-factor Authentication (MFA)

แหล่งข่าวรายหนึ่งระบุว่า กลุ่ม ShinyHunters อยู่เบื้องหลังการโจมตีแบบ Device Code Vishing ครั้งใหม่นี้ ซึ่งต่อมาทางกลุ่มผู้โจมตีก็ได้ออกมายืนยันด้วยตนเอง อย่างไรก็ตาม ยังไม่สามารถตรวจสอบข้อเท็จจริงนี้ได้อย่างสมบูรณ์

เมื่อไม่นานมานี้กลุ่ม ShinyHunters ถูกเชื่อมโยงกับการโจมตีแบบ vishing ที่ใช้ในการโจมตีบัญชี Okta และ Microsoft Entra SSO เพื่อขโมยข้อมูล

การโจมตีด้วยเทคนิค Device Code Social Engineering

เว็บไซต์ BleepingComputer ได้รับข้อมูลจากหลายแหล่งว่า กลุ่มผู้โจมตีได้เริ่มใช้การโจมตีแบบ vishing ซึ่งไม่จำเป็นต้องอาศัยโครงสร้างพื้นฐานที่ผู้โจมตีควบคุมอยู่ แต่หันไปใช้ประโยชน์จากหน้าล็อกอินที่ถูกต้องของ Microsoft และขั้นตอนการยืนยันตัวตนด้วย Device Code แบบมาตรฐานเพื่อโจมตีเข้าไปในบัญชีขององค์กร

การโจมตีแบบ Device Code Phishing คือการใช้ช่องโหว่ของกระบวนการให้สิทธิ์การเข้าถึงอุปกรณ์ OAuth 2.0 ที่ถูกต้อง เพื่อขอรับโทเค็นการยืนยันตัวตนสำหรับบัญชี Microsoft Entra ของเหยื่อ

จากนั้นสามารถใช้ข้อมูลนี้เพื่อเข้าถึงทรัพยากรของผู้ใช้ และแอปพลิเคชัน SSO ที่เชื่อมต่ออยู่ เช่น Microsoft 365, Salesforce, Google Workspace, Dropbox, Adobe, SAP, Slack, Zendesk, Atlassian และบริการอื่น ๆ

กระบวนการขอสิทธิ์นี้ถูกออกแบบมาเพื่อให้การเชื่อมต่ออุปกรณ์ที่ไม่มีตัวเลือกการป้อนข้อมูลที่เข้าถึงได้ง่าย เช่น อุปกรณ์ IoT, เครื่องพิมพ์, อุปกรณ์สตรีมมิง และสมาร์ททีวี

Microsoft ระบุว่า แพลตฟอร์มการระบุตัวตนของ Microsoft รองรับการให้สิทธิ์การเข้าถึงอุปกรณ์ ซึ่งช่วยให้ผู้ใช้สามารถลงชื่อเข้าใช้บนอุปกรณ์ที่มีข้อจำกัดด้านการป้อนข้อมูล เช่น สมาร์ททีวี อุปกรณ์ IoT หรือเครื่องพิมพ์

ในการใช้งานขั้นตอนนี้ อุปกรณ์จะให้ผู้ใช้เข้าไปยังหน้าเว็บผ่านเบราว์เซอร์บนอุปกรณ์เครื่องอื่นเพื่อลงชื่อเข้าใช้ และเมื่อผู้ใช้ลงชื่อเข้าใช้เรียบร้อยแล้ว อุปกรณ์ดังกล่าวก็จะสามารถรับ access tokens และ Refresh tokens ได้ตามต้องการ

ขั้นตอนการยืนยันตัวตนนี้คล้ายกับเวลาลงชื่อเข้าใช้บริการสตรีมมิง เช่น Netflix หรือ Apple TV ที่ตัวอุปกรณ์สตรีมมิงจะแสดงรหัสสั้น ๆ และแนะนำให้เข้าไปยังเว็บไซต์ผ่านโทรศัพท์ หรือคอมพิวเตอร์เพื่อทำการลงชื่อเข้าใช้ให้เสร็จสมบูรณ์

หลังจากที่ป้อนรหัส และยืนยันตัวตนแล้ว อุปกรณ์จะเชื่อมโยงกับบัญชีโดยอัตโนมัติ โดยไม่ต้องจัดการรหัสผ่านโดยตรง

ในการโจมตีแบบ Device-code Phishing นั้น กลุ่มผู้โจมตีจำเป็นต้องมี client_id ของแอปพลิเคชัน OAuth ที่มีอยู่แล้วก่อน ซึ่งอาจจะเป็นแอปที่สร้างขึ้นเอง หรือเป็นหนึ่งในแอปของ Microsoft ก็ได้

ผู้โจมตีใช้เครื่องมือโอเพนซอร์ส เพื่อสร้าง device_code และ user_code ซึ่งจะถูกส่งต่อไปยังเป้าหมายสำหรับแอป OAuth ที่ระบุไว้

จากนั้นผู้โจมตีจะติดต่อพนักงานที่เป็นเป้าหมาย และพยายามโน้มน้าวให้พวกเขากรอกรหัสผู้ใช้ที่สร้างขึ้นในหน้าการยืนยันตัวตนอุปกรณ์ของ Microsoft ที่ microsoft.

Notepad++ ได้นำการออกแบบระบบ 'Double-lock' มาใช้กับการอัปเดตซอฟต์แวร์ เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยที่เคยถูกโจมตีแบบ Supply-chain Compromise ในช่วงที่ผ่านมา

ระบบใหม่นี้ถูกนำมาใช้งานอย่างเต็มรูปแบบใน Notepad++ เวอร์ชัน 8.9.2 ซึ่งมีการประกาศเปิดตัวเมื่อวานนี้ โดยกระบวนการพัฒนาดังกล่าวได้เริ่มดำเนินการมาตั้งแต่เวอร์ชัน 8.8.9 ด้วยการวางระบบตรวจสอบความถูกต้องของโปรแกรมติดตั้งที่มีการ Signed Installer จาก GitHub

สำหรับองค์ประกอบส่วนที่สองของระบบ double-lock คือการตรวจสอบไฟล์ XML ที่มีการ signed กำกับจากโดเมนหลัก notepad-plus-plus.

สำนักงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ออกแจ้งเตือนถึงช่องโหว่ระดับ Critical ในผลิตภัณฑ์กล้อง CCTV ของ Honeywell หลายรุ่น ที่อาจทำให้มีการเข้าถึงภาพจากกล้องโดยไม่ได้รับอนุญาต หรือสามารถเข้าควบคุมบัญชีผู้ใช้ได้

ช่องโหว่ดังกล่าวถูกพบโดยนักวิจัยที่ชื่อ Souvik Kanda และมีหมายเลข CVE-2026-1670 โดยปัญหาด้านความปลอดภัยนี้ถูกจัดเป็นประเภทการขาดการยืนยันตัวตนสำหรับฟังก์ชันที่สำคัญ และได้รับคะแนนความรุนแรงระดับ Crtical สูงถึง 9.8

ช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน สามารถเปลี่ยน Email Address สำรอง ที่เชื่อมโยงกับบัญชีของอุปกรณ์ได้ ซึ่งนำไปสู่การเข้าควบคุมบัญชี และการเข้าถึงภาพจากกล้องโดยไม่ได้รับอนุญาต

CISA ระบุว่า "ผลิตภัณฑ์ที่ได้รับผลกระทบมีช่องโหว่จากการเปิดเผย API endpoint ที่ไม่มีการยืนยันตัวตน ซึ่งอาจทำให้ผู้โจมตีสามารถเปลี่ยน Email Address สำรองสำหรับการ forgot password ได้"

ตามประกาศเตือนด้านความปลอดภัย ช่องโหว่ CVE-2026-1670 ส่งผลกระทบต่ออุปกรณ์รุ่นต่าง ๆ ดังต่อไปนี้

I-HIB2PI-UL 2MP IP 6.1.22.1216
SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0
PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0
25M IPC WDR_2MP_32M_PTZ_v2.0

Honeywell เป็นผู้จัดหาอุปกรณ์รักษาความปลอดภัย และระบบกล้อง CCTV รายใหญ่ระดับโลก โดยมีกล้อง CCTV และผลิตภัณฑ์ที่เกี่ยวข้องหลากหลายรุ่นที่ถูกนำไปติดตั้งใช้งานในภาคการพาณิชย์, อุตสาหกรรม และโครงสร้างพื้นฐานระดับ Critical ทั่วโลก

บริษัทมีผลิตภัณฑ์กล้องหลายรุ่นที่สอดคล้องกับมาตรฐาน NDAA (National Defense Authorization Act) ซึ่งเหมาะสำหรับการนำไปติดตั้งใช้งานในหน่วยงานรัฐบาลสหรัฐฯ และบริษัทคู่สัญญาของรัฐบาลกลาง

สำหรับกลุ่มผลิตภัณฑ์เฉพาะรุ่นที่ระบุไว้ในประกาศเตือนของ CISA นั้น เป็นผลิตภัณฑ์ระบบกล้อง CCTV ระดับกลางที่ใช้งานในสภาพแวดล้อมของธุรกิจขนาดเล็กถึงขนาดกลาง, สำนักงาน และคลังสินค้า ซึ่งบางแห่งอาจเป็นส่วนหนึ่งของสถานที่ที่มีความสำคัญระดับ Critical

CISA ระบุว่าเมื่อวันที่ 17 กุมภาพันธ์ที่ผ่านมา ยังไม่มีรายงานการโจมตีจริงต่อสาธารณะที่มุ่งเป้าหมายไปที่ช่องโหว่ดังกล่าวโดยเฉพาะ

อย่างไรก็ตาม ทางหน่วยงานแนะนำให้ลดการเชื่อมต่ออุปกรณ์ของระบบควบคุมเข้ากับเครือข่ายให้เหลือน้อยที่สุด โดยให้แยกอุปกรณ์เหล่านี้ไว้หลัง Firewall และใช้วิธีการเข้าถึงจากระยะไกลที่ปลอดภัย เช่น การใช้โซลูชัน VPN ที่อัปเดตแล้ว ในกรณีที่จำเป็นต้องเชื่อมต่อจากระยะไกล

ปัจจุบัน Honeywell ยังไม่ได้ออกประกาศเตือนอย่างเป็นทางการเกี่ยวกับ CVE-2026-1670 แต่ขอแนะนำให้ผู้ใช้งานติดต่อทีมสนับสนุนของบริษัทเพื่อขอคำแนะนำในการติดตั้งแพตช์เพื่อแก้ไขปัญหา

ที่มา : bleepingcomputer

 

 

รัฐบาลรัสเซียกำลังพยายามบล็อก WhatsApp ภายในประเทศ ในขณะที่มาตรการปราบปรามแพลตฟอร์มการสื่อสารที่อยู่นอกเหนือการควบคุมของรัฐกำลังทวีความรุนแรงขึ้น

WhatsApp ได้ออกมาประกาศถึงการกระทำดังกล่าวผ่านทาง X โดยระบุว่านี่เป็นการก้าวถอยหลัง ซึ่งมีแต่จะทำให้ความปลอดภัยของประชาชนในรัสเซียลดน้อยลง

WhatsApp ยังให้คำมั่นแก่ผู้ใช้งานในรัสเซียว่าจะพยายามทำทุกวิถีทางเพื่อให้พวกเขาสามารถเชื่อมต่อถึงกันได้ต่อไป

สื่อของรัสเซียรายงานว่า เมื่อไม่นานมานี้ Roskomnadzor ซึ่งเป็นหน่วยงานเฝ้าระวังอินเทอร์เน็ตของประเทศ ได้ถอดโดเมน whatsapp.

แฮ็กเกอร์กำลังมุ่งเป้าไปที่กลุ่มนักพัฒนาโดยใช้ช่องโหว่ระดับ Critical หมายเลข CVE-2025-11953 ใน Metro server ของ React Native เพื่อฝัง Payloads ที่เป็นอันตรายเข้าสู่ระบบปฏิบัติการ Windows และ Linux

บน Windows ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนจะสามารถใช้ช่องโหว่ดังกล่าวเพื่อรันคำสั่งใด ๆ บน OS ก็ได้ผ่าน POST request ส่วนบน Linux และ macOS ช่องโหว่นี้อาจนำไปสู่การรันไฟล์โปรแกรมใด ๆ ก็ตาม แต่จะมีการจำกัดการควบคุม Parameter บางส่วน

Metro คือ JavaScript bundler ที่เป็นค่า Default สำหรับโปรเจกต์ React Native และเป็นเครื่องมือสำคัญสำหรับการสร้าง และรันแอปพลิเคชันในช่วงระหว่างการพัฒนา

โดยค่า Default ของ Metro สามารถเชื่อมต่อกับ Interfaces เครือข่ายภายนอก และเปิดให้เข้าถึง HTTP endpoints ที่ออกแบบมาสำหรับขั้นตอนการพัฒนาเท่านั้น (เช่น /open-url) เพื่อให้ใช้งานแบบ Local ได้

นักวิจัยจาก JFrog บริษัทด้านความปลอดภัยของ Supply-chain ซอฟต์แวร์ ได้ค้นพบช่องโหว่ดังกล่าว และออกมาเปิดเผยเมื่อต้นเดือนพฤศจิกายนที่ผ่านมา ซึ่งหลังจากที่มีการเปิดเผยข้อมูลต่อสาธารณะ ก็เริ่มมีการปล่อยโค้ด Proof-of-Concept exploits ออกมาหลายตัว

ในบทความที่เผยแพร่ระบุว่า ต้นตอของปัญหาอยู่ที่ endpoint /open-url นั้นยอมรับคำสั่งแบบ POST request ที่แนบค่า URL ซึ่งผู้ใช้ป้อนเข้ามา และค่าเหล่านั้นถูกส่งต่อไปประมวลผลในฟังก์ชัน open() โดยไม่ผ่านการตรวจสอบความปลอดภัยเสียก่อน

ช่องโหว่ดังกล่าวส่งผลกระทบต่อแพ็กเกจ @react-native-community/cli-server-api ตั้งแต่เวอร์ชัน 4.8.0 ถึง 20.0.0-alpha.

CISA ออกมายืนยันว่าพบกลุ่ม Ransomware ได้เริ่มใช้ช่องโหว่ VMware ESXi sandbox escape ที่มีระดับความรุนแรงสูงในการโจมตี โดยก่อนหน้านี้ได้เคยถูกใช้ในการโจมตีแบบ Zero-Day มาก่อนแล้ว

Broadcom ได้แก้ไขช่องโหว่ ESXi arbitrary-write (CVE-2025-22225) ในเดือนมีนาคม 2025 พร้อมกับช่องโหว่ memory leak (CVE-2025-22226) และช่องโหว่ TOCTOU (CVE-2025-22224) และช่องโหว่เหล่านี้ทั้งหมด ถูกระบุว่าเป็นช่องโหว่ที่เคยถูกนำไปใช้ในการโจมตีมาก่อนแล้ว

Broadcom ระบุเกี่ยวกับช่องโหว่ CVE-2025-22225 ไว้ว่า "Hacker ที่มีสิทธิ์ใน VMX process อาจทำให้เกิดการเขียนข้อมูลลงใน kernel ซึ่งนำไปสู่การ escape จาก sandbox ได้"

Broadcom ระบุว่า ช่องโหว่ทั้งสามรายการ ส่งผลกระทบต่อผลิตภัณฑ์ VMware ESX รวมถึง VMware ESXi, Fusion, Cloud Foundation, vSphere, Workstation และ Telco Cloud Platform และ Hacker ที่มีสิทธิ์ผู้ดูแลระบบ หรือสิทธิ์ root สามารถใช้ช่องโหว่เหล่านี้ร่วมกันเพื่อ escape จาก sandbox ของ virtual machine ได้

จากรายงานที่เผยแพร่เมื่อเดือนมกราคม 2026 Huntress บริษัทด้านความปลอดภัยทางไซเบอร์ระบุว่า Hacker จากจีน น่าจะใช้ช่องโหว่เหล่านี้ร่วมกันในการโจมตีแบบ Zero-Day ที่มีความซับซ้อนมาตั้งแต่เดือนกุมภาพันธ์ 2024 เป็นอย่างน้อย

กำลังถูกใช้ในการโจมตีด้วย Ransomware

ในการอัปเดตที่ผ่านมาเกี่ยวกับรายการช่องโหว่ที่ถูกใช้โจมตีในวงกว้าง หน่วยงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ระบุว่า ช่องโหว่ CVE-2025-22225 ได้ถูกนำไปใช้ในแคมเปญ Ransomware แล้ว แต่ไม่ได้ให้รายละเอียดเพิ่มเติมเกี่ยวกับการโจมตีที่กำลังดำเนินอยู่เหล่านี้

CISA ได้เพิ่มช่องโหว่เหล่านี้ลงใน Known Exploited Vulnerabilities (KEV) catalog เป็นครั้งแรกในเดือนมีนาคม 2025 และสั่งให้หน่วยงานของรัฐบาลกลางรักษาความปลอดภัยระบบของตนภายในวันที่ 25 มีนาคม 2025 ตามที่กำหนดไว้ในคำสั่งปฏิบัติการผูกพัน (BOD) 22-01

กลุ่ม Ransomware และกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาล มักจะกำหนดเป้าหมายการโจมตีไปยังช่องโหว่ของ VMware เนื่องจากผลิตภัณฑ์ VMware ถูกนำไปใช้อย่างแพร่หลายในระบบขององค์กรซึ่งมักจัดเก็บข้อมูลสำคัญของบริษัท

ตัวอย่างเช่น ในเดือนตุลาคม 2025 CISA ได้สั่งให้หน่วยงานรัฐบาลแก้ไขช่องโหว่ระดับความรุนแรงสูง (CVE-2025-41244) ในซอฟต์แวร์ VMware Aria Operations และ VMware Tools ของ Broadcom ซึ่ง Hacker จากจีนได้ใช้ในการโจมตีแบบ Zero-Day มาตั้งแต่เดือนตุลาคม 2024

รวมถึงเมื่อเร็ว ๆ นี้ CISA ยังได้ระบุช่องโหว่ที่สำคัญของ VMware vCenter Server (CVE-2024-37079) ว่ากำลังถูกใช้ในการโจมตีอย่างแพร่หลายในเดือนมกราคม 2026 และสั่งให้หน่วยงานรัฐบาลกลางรักษาความปลอดภัยเซิร์ฟเวอร์ของตนภายในวันที่ 13 กุมภาพันธ์ 2026

อีกทั้ง GreyNoise บริษัทด้านความปลอดภัยทางไซเบอร์รายงานว่า ทาง CISA ได้ระบุช่องโหว่ด้านความปลอดภัยที่ทราบกันว่ากำลังถูกนำไปใช้ในการโจมตีจากแคมเปญ Ransomware เมื่อปีที่แล้วเพียงปีเดียวถึง 59 รายการ

ที่มา : bleepingcomputer

มีการตรวจพบแพ็กเกจอันตรายกว่า 230 รายการ สำหรับ AI assistant ส่วนตัวที่ชื่อว่า OpenClaw (เดิมรู้จักกันในชื่อ Moltbot และ ClawdBot) โดยถูกเผยแพร่บน Registry อย่างเป็นทางการของเครื่องมือดังกล่าว และบน GitHub ภายในเวลาไม่ถึงหนึ่งสัปดาห์ (more…)

การโจมตีด้วยมัลแวร์ GlassWorm รูปแบบใหม่ผ่านทาง Extensions ของ OpenVSX ที่ถูกโจมตีระบบ โดยมุ่งเน้นไปที่การขโมยรหัสผ่าน, ข้อมูล Crypto-wallet, รวมถึงข้อมูล Credentials และ Configurations ต่าง ๆ ของนักพัฒนาจากระบบ macOS (more…)

พบแคมเปญการสแกนช่องโหว่ ซึ่งมุ่งเป้าไปที่ Citrix NetScaler โดย Residential Proxy หลายหมื่นเครื่องเพื่อค้นหา Login Panel (more…)

บริษัทผู้พัฒนา Notepad++ ระบุในแถลงการณ์อย่างเป็นทางการในวันนี้ว่า กลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลจีน น่าจะเป็นผู้ที่อยู่เบื้องหลังการ hijacking การอัปเดต Notepad++ เมื่อปีที่แล้ว ซึ่งกินเวลานานกว่า 6 เดือน

ผู้โจมตีใช้ช่องโหว่ด้านความปลอดภัยในกระบวนการตรวจสอบความถูกต้องของระบบอัปเดตของ Notepad++ ในการดักจับ และเปลี่ยนเส้นทาง update requests ของผู้ใช้บางส่วนไปยังเซิร์ฟเวอร์ที่เป็นอันตราย จากนั้นจึงส่งไฟล์ manifest การอัปเดตที่ถูกดัดแปลงกลับไป

ผู้ให้บริการโฮสติ้งซึ่งดูแลระบบอัปเดตออกแถลงการณ์ว่า จากการตรวจสอบ logs พบหลักฐานว่าผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์ที่ใช้สำหรับแอปพลิเคชันอัปเดตของ Notepad++ ได้

ผู้เชี่ยวชาญด้านความปลอดภัยภายนอกที่ร่วมการสืบสวนพบว่า การโจมตีเริ่มต้นมาตั้งแต่เดือนมิถุนายน 2025 โดยผู้พัฒนาอธิบายเพิ่มเติมว่า เหตุการณ์ดังกล่าวมีขอบเขตค่อนข้างแคบ และมีการเปลี่ยนเส้นทางไปยังโครงสร้างพื้นฐานของผู้โจมตีเฉพาะผู้ใช้บางกลุ่มเท่านั้น

แถลงการณ์ของ Notepad++ ระบุว่า ผู้โจมตีที่อยู่เบื้องหลังการโจมตีนี้ มีแนวโน้มเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลจีน ซึ่งสอดคล้องกับพฤติกรรมการเลือกเป้าหมายอย่างเฉพาะเจาะจงที่ตรวจพบตลอดช่วงปฏิบัติการ ผู้โจมตีมุ่งเป้าไปที่โดเมนของ Notepad++ โดยใช้ประโยชน์จากช่องโหว่ในกระบวนการตรวจสอบความถูกต้องของการอัปเดตที่ไม่รัดกุมเพียงพอใน Notepad++ เวอร์ชันก่อนหน้า ตามการประเมินของนักวิจัยด้านความมั่นคงปลอดภัยอิสระหลายฝ่าย

ในเดือนธันวาคม Notepad++ ได้ออกเวอร์ชัน 8.8.9 เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยในเครื่องมืออัปเดต WinGUp หลังจากนักวิจัยหลายรายรายงานว่า ตัวอัปเดตอาจได้รับแพ็กเกจอันตรายแทนแพ็กเกจที่ถูกต้องตามปกติ

Kevin Beaumont นักวิจัยด้านความปลอดภัย เคยออกมาเตือนว่า เขาทราบว่ามีอย่างน้อยสามองค์กรที่ได้รับผลกระทบจากเหตุการณ์เข้าควบคุมกระบวนการอัปเดตลักษณะนี้ ซึ่งต่อมาพบการ reconnaissance ภายในเครือข่ายโดยตรง

Notepad++ เป็นโปรแกรมแก้ไขข้อความ และซอร์สโค้ดแบบโอเพนซอร์สที่ใช้งานได้ฟรี และได้รับความนิยมอย่างสูงในระบบปฏิบัติการ Windows โดยมีผู้ใช้หลายสิบล้านคนทั่วโลก

ผู้พัฒนาได้ชี้แจงว่า การโจมตีดังกล่าวเกิดขึ้นในเดือนมิถุนายน 2025 เมื่อผู้ให้บริการโฮสติ้งที่ดูแลซอฟต์แวร์ถูกโจมตี ทำให้ผู้โจมตีสามารถเปลี่ยนเส้นทางการรับส่งข้อมูลแบบกำหนดเป้าหมายได้

ในช่วงต้นเดือนกันยายน ผู้โจมตีสูญเสียการเข้าถึงระบบชั่วคราว หลังจากมีการอัปเดตเคอร์เนลของเซิร์ฟเวอร์ และเฟิร์มแวร์ อย่างไรก็ตาม กลุ่มผู้โจมตีสามารถกลับมายึดระบบได้อีกครั้ง โดยอาศัยข้อมูล credentials ของบริการภายในที่ได้มาก่อนหน้านี้ และยังไม่ได้ถูกเปลี่ยนแปลง

สถานการณ์ดังกล่าวดำเนินต่อเนื่องไปจนถึงวันที่ 2 ธันวาคม 2025 ซึ่งเป็นเวลาที่ผู้ให้บริการตรวจพบการโจมตีในที่สุด และยุติการเข้าถึงของผู้โจมตีลง

หลังเกิดเหตุ Notepad++ ได้ย้ายผู้ใช้งานทั้งหมดไปยังผู้ให้บริการโฮสติ้งรายใหม่ที่มีความปลอดภัยรัดกุมยิ่งขึ้น พร้อมทั้งเปลี่ยนข้อมูล credentials ทุกชุดที่มีความเป็นไปได้ว่าจะรั่วไหล แก้ไขช่องโหว่ที่ถูกใช้ในการโจมตี และตรวจสอบ Logs อย่างละเอียด เพื่อยืนยันว่ากิจกรรมที่เป็นอันตรายได้ยุติลงแล้ว

เพื่อให้มั่นใจในความมั่นคงปลอดภัย ผู้ใช้งาน Notepad++ ควรปฏิบัติตามขั้นตอนดังต่อไปนี้:

เปลี่ยนข้อมูล credentials สำหรับ SSH, FTP/SFTP และ MySQL
ตรวจสอบบัญชีผู้ดูแลระบบ WordPress รีเซ็ตรหัสผ่าน และลบผู้ใช้ที่ไม่จำเป็น
อัปเดต WordPress core ปลั๊กอิน และธีม พร้อมเปิดใช้การอัปเดตอัตโนมัติหากทำได้

ตั้งแต่ Notepad++ เวอร์ชัน 8.8.9 เป็นต้นไป WinGUp จะทำการตรวจสอบ certificates และ signatures ของตัวติดตั้ง และไฟล์ XML สำหรับการอัปเดตที่ได้รับ cryptographically signed เพื่อยืนยันความถูกต้องแล้ว

นักพัฒนาได้ให้ข้อมูลเพิ่มเติมว่า มีแผนที่จะเริ่มการตรวจ certificate signature แบบบังคับใช้ในเวอร์ชัน 8.9.2 ซึ่งคาดว่าจะพร้อมใช้งานในอีกประมาณหนึ่งเดือนข้างหน้า

BleepingComputer ได้ติดต่อ Don Ho ผู้พัฒนาหลักของ Notepad++ เพื่อขอข้อมูล Indicators of Compromise (IoCs) หรือรายละเอียดอื่น ๆ ที่จะช่วยให้ผู้ใช้ตรวจสอบว่าตนได้รับผลกระทบหรือไม่

อย่างไรก็ตาม Don Ho รายงานว่า ในระหว่างการตรวจสอบ Logs ทีม Incident Response (IR) ตรวจพบร่องรอยการบุกรุก แต่ไม่พบ IoCs นอกจากนี้ เขายังกล่าวเสริมว่า ทั้งทีม IR และตัวเขาเองได้พยายามร้องขอข้อมูล IoCs โดยตรงจากผู้ให้บริการโฮสติ้งรายเดิม แต่ไม่สามารถขอรับข้อมูลดังกล่าวได้

กลุ่ม APT จากจีนที่รู้จักในชื่อ Lotus Blossom (หรือที่เรียกอีกชื่อว่า Raspberry Typhoon, Bilbug และ Spring Dragon) ถูกเปิดโปงโดยนักวิจัยจาก Rapid7 ว่าเป็นผู้อยู่เบื้องหลังการโจมตีดังกล่าว โดยได้ใช้แบ็กดอร์ที่ปรับแต่งเฉพาะ และไม่เคยมีการบันทึกมาก่อน ซึ่งนักวิจัยตั้งชื่อให้ว่า Chrysalis

เนื่องจากมีคุณสมบัติจำนวนมากที่ถูกค้นพบ นักวิจัยจึงเชื่อว่า Chrysalis เป็นเครื่องมือที่มีความซับซ้อน ซึ่งถูกออกแบบมาเพื่อทำหน้าที่อย่างถาวรในระบบของเหยื่อ

นักวิจัยได้เผยแพร่บทวิเคราะห์ทางเทคนิคโดยละเอียดเกี่ยวกับมัลแวร์นี้ อย่างไรก็ตาม พวกเขาระบุว่าไม่มีหลักฐานที่ชัดเจนเพียงพอที่จะยืนยันว่าการโจมตีในครั้งนี้มีการใช้ประโยชน์จากกลไกการอัปเดตที่เกี่ยวข้อง

Rapid7 ระบุว่า "พฤติกรรมเดียวที่ได้รับการยืนยันคือกระบวนการ 'notepad++.exe' ตามด้วย 'GUP.exe' ทำงานก่อนที่จะมีการรันกระบวนการที่น่าสงสัยชื่อ 'update.