GitHub กำลังนำมาตรการป้องกันใหม่มาใช้เพื่อลดความเสี่ยงจากการโจมตีแบบ Supply-Chain attack บนแพลตฟอร์ม หลังจากที่มีเหตุการณ์โจมตีครั้งใหญ่หลายครั้งในช่วงที่ผ่านมา
(more…)
GitHub เพิ่มความเข้มงวดมาตรการความปลอดภัยของ npm ด้วยการบังคับใช้ 2FA และ Access Tokens
มัลแวร์บน Android ตัวใหม่แอบอ้างเป็น Antivirus จากหน่วยข่าวกรองรัสเซียเพื่อโจมตีเป้าหมายในประเทศ
มัลแวร์บน Android ตัวใหม่ ที่ปลอมตัวเป็นโปรแกรม Antivirus ซึ่งอ้างว่าพัฒนาโดยหน่วยงานบริการความมั่นคงแห่งรัฐของรัสเซีย (FSB) กำลังถูกนำมาใช้ในการโจมตีผู้บริหารของธุรกิจในรัสเซีย (more…)
แคมเปญมัลแวร์ XenoRAT โจมตีสถานทูตหลายแห่งในเกาหลีใต้
กลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐ กำลังโจมตีสถานทูตต่างชาติในเกาหลีใต้ โดยใช้มัลแวร์ XenoRAT ซึ่งถูกปล่อยผ่าน repositories ที่เป็นอันตรายบน GitHub
จากการวิเคราะห์ของนักวิจัย Trellix พบว่าแคมเปญมัลแวร์นี้เริ่มต้นในเดือนมีนาคม และยังคงดำเนินอยู่ โดยมีการโจมตีแบบ Spearphishing ไปยังเป้าหมายที่มีมูลค่าสูงอย่างน้อย 19 ครั้ง แม้ว่าเทคนิคที่ใช้จะสอดคล้องกับกลุ่ม Kimsuky (APT43) ซึ่งเป็นกลุ่มปฏิบัติการจากเกาหลีเหนือ แต่นักวิจัยระบุว่ามีข้อบ่งชี้ว่าผู้โจมตีอาจมาจากจีน (more…)
กระทรวงยุติธรรมสหรัฐฯ จับชายชาวจากแคลิฟอร์เนียที่สารภาพว่าแฮ็กข้อมูลของ Disney และปล่อยข้อมูลโดยปลอมตัวเป็น Hacktivist
กระทรวงยุติธรรมของสหรัฐฯ ประกาศว่า ชายวัย 25 ปีจากแคลิฟอร์เนียรับสารภาพว่าได้แฮ็กข้อมูลระบบของ Disney และปล่อยข้อมูลภายใต้การปลอมตัวเป็นกลุ่ม Hacktivist (more…)
การวิเคราะห์การตรวจสอบข้อมูลรั่วไหลของ Oracle Cloud เพิ่มเติมโดย CloudSEK
เมื่อวันที่ 21 มีนาคม 2025 ผู้ใช้งานที่ใช้ชื่อ 'rose87168' ได้โพสต์ข้อความบนเว็บไซต์ BreachForums โดยอ้างว่าสามารถเข้าถึงเซิร์ฟเวอร์การเข้าสู่ระบบของ Oracle Cloud ได้ และได้เสนอขายข้อมูลสำคัญ เช่น ข้อมูล Credentials ของระบบ SSO และ LDAP, คีย์ OAuth2 และข้อมูลของลูกค้าในแต่ละ tenant
(more…)
การโจมตีแบบฟิชชิ่งด้วย “Security Alert” ปลอมบน GitHub ใช้ OAuth App เพื่อเข้ายึดบัญชี
แคมเปญฟิชชิ่งขนาดใหญ่ได้โจมตี repositories บน GitHub เกือบ 12,000 รายการ โดยสร้าง "Security Alert" ปลอมเพื่อหลอกให้นักพัฒนาอนุญาตให้แอป OAuth ที่เป็นอันตรายเข้าถึงบัญชีของพวกเขา ซึ่งทำให้ผู้โจมตีสามารถเข้าควบคุมบัญชี และโค้ดได้อย่างเต็มที่
โดยข้อความในฟิชชิ่งบน GitHub จะระบุว่า "Security Alert: Unusual Access Attempt เราตรวจพบความพยายามเข้าสู่ระบบบัญชี GitHub ของคุณจากตำแหน่งที่ตั้ง หรืออุปกรณ์ใหม่"
ข้อความฟิชชิ่งทั้งหมดบน GitHub มีข้อความลักษณะเดียวกัน โดยเตือนผู้ใช้งานว่ามีการเข้าสู่ระบบที่ผิดปกติจากเมืองเรคยาวิก ประเทศไอซ์แลนด์ และจาก IP Address 53.253.117.8
นักวิจัยด้านความปลอดภัยทางไซเบอร์ Luc4m เป็นคนแรกที่พบการแจ้งเตือนความปลอดภัยปลอม ซึ่งเตือนผู้ใช้ GitHub ว่าบัญชีของพวกเขาถูกบุกรุก และแนะนำให้เปลี่ยนรหัสผ่าน ตรวจสอบ และจัดการเซสชันที่ใช้งานอยู่ และเปิดใช้งานตรวจสอบสิทธิ์สองขั้นตอน (2FA) เพื่อรักษาความปลอดภัยให้กับบัญชีของตน
อย่างไรก็ตาม ลิงก์ทั้งหมดที่แนบมากับคำแนะนำเหล่านี้กลับนำผู้ใช้ไปยังหน้าการให้สิทธิ์ ของ GitHub สำหรับแอป OAuth ชื่อ "gitsecurityapp" ซึ่งร้องขอสิทธิ์การเข้าถึงที่มีความเสี่ยงสูง และจะทำให้ผู้โจมตีสามารถเข้าควบคุมบัญชี และ repositories ของผู้ใช้ได้อย่างสมบูรณ์
รายการสิทธิ์ที่ขอ และการเข้าถึงที่ได้รับ
repo: ให้สิทธิ์เข้าถึง repositories สาธารณะ และส่วนตัวได้อย่างเต็มที่
user: สามารถอ่าน และเขียนข้อมูลโปรไฟล์ของผู้ใช้
read:org: อ่านข้อมูลสมาชิกองค์กร, โปรเจกต์ขององค์กร และการเป็นสมาชิกทีม
read:discussion, write:discussion: อ่าน และเขียนเพื่อการเข้าถึงการสนทนา
gist: เข้าถึง GitHub Gists
delete_repo: มีสิทธิ์ลบ repositories
workflows, workflow, write:workflow, read:workflow, update:workflow: ควบคุม GitHub Actions workflows ได้
หากผู้ใช้ GitHub ลงชื่อเข้าใช้ และอนุญาตให้แอป OAuth ที่เป็นอันตรายเข้าถึง ระบบจะสร้างโทเค็นการเข้าถึง และส่งกลับไปยัง callback address ของแอป ซึ่งในแคมเปญนี้พบว่าเป็นหน้าเว็บเพจที่โฮสต์บน onrender.
GitHub, Telegram Bots และ ASCII QR Codes ถูกนำมาใช้ในการโจมตีแบบ Phishing ในรูปแบบใหม่
มีการพบเห็นการโจมตีด้วยมัลแวร์รูปแบบใหม่ที่เกี่ยวข้องกับภาษี โดยมีการมุ่งเป้าไปที่ธุรกิจประกันภัย และการเงินโดยใช้ลิงก์ GitHub ในข้อความอีเมลฟิชชิ่งเพื่อหลบเลี่ยงมาตรการรักษาความปลอดภัย และส่งมัลแวร์ Remcos RAT โดยวิธีการนี้กำลังได้รับความนิยมในกลุ่มแฮ็กเกอร์ (more…)
ผู้ไม่หวังดีใช้โฆษณาของบริการ AppleCare+ ปลอมผ่าน GitHub Repositories
พบแคมเปญอันตรายที่มุ่งเป้าไปที่ผู้ใช้งาน Mac ที่กำลังค้นหาการสนับสนุน หรือขยายการรับประกันจาก Apple ผ่านแผนการสนับสนุน AppleCare+ โดยผู้ไม่หวังดีได้ทำการซื้อโฆษณาบน Google เพื่อหลอกเหยื่อ และเปลี่ยนเส้นทางให้ไปยังหน้าเว็บไซต์ปลอมที่โฮสต์อยู่บน GitHub ซึ่งเป็นแพลตฟอร์มของ Microsoft สำหรับนักพัฒนาเพื่อเป็นที่จัดเก็บโค้ด
เมื่อเหยื่อติดต่อศูนย์บริการที่ปรากฏบนเว็บไซต์ปลอม กลุ่มผู้ไม่หวังดีที่แอบอ้างว่าเป็นพนักงานของ Apple จะใช้วิธีการพูดคุยโน้มน้าว หรือวิธีการ Social Engineering เพื่อหลอกเอาเงินจากเหยื่อ (more…)
Comment ใน Github ถูกนำไปใช้เพื่อหลอกติดตั้งมัลแวร์ขโมยรหัสผ่าน
GitHub กำลังถูกใช้งานเพื่อเผยแพร่มัลแวร์ Lumma Stealer ที่มีความสามารถในการขโมยข้อมูล ผ่านการโพสต์วิธีการแก้ไขปัญหาปลอมในความคิดเห็นของโปรเจกต์ต่าง ๆ
การโจมตีนี้ถูกรายงานครั้งแรกโดย contributor ในไลบรารี Rust ของ Teloxide ซึ่งได้ระบุไว้บน Reddit ว่า พวกเขาได้รับความคิดเห็นที่ดูเหมือนจะเป็นการแก้ไขปัญหา แต่แท้จริงแล้วกลับเป็นการเผยแพร่มัลแวร์
การตรวจสอบเพิ่มเติมโดย BleepingComputer พบว่า มีความคิดเห็นที่คล้ายกันหลายพันรายการที่โพสต์ลงในโปรเจ็กต์ต่าง ๆ มากมายบน GitHub ซึ่งทั้งหมดล้วนเสนอการแก้ไขปัญหาปลอม ๆ ให้กับคำถามของผู้อื่น
วิธีแก้ปัญหานี้ คือ จะหลอกให้ดาวน์โหลดไฟล์ archive ที่ใส่รหัสผ่านไว้จาก mediafire.
Gitloker โจมตีโดยใช้การแจ้งเตือนของ GitHub เพื่อส่งแอป OAuth ที่เป็นอันตราย
แฮ็กเกอร์แอบอ้างเป็นทีมรักษาความปลอดภัย และการสรรหาบุคลากรของ GitHub ใช้การโจมตีแบบฟิชชิ่งเพื่อ hijack repositories โดยใช้แอป OAuth ที่เป็นอันตราย ในแคมเปญการข่มขู่ลบข้อมูลบน repositories ที่ถูกแฮ็ก
(more…)