การโจมตีแบบ supply chain attack ครั้งนี้ เกิดขึ้นจากการที่แฮ็กเกอร์ใช้วิธีการฟิชชิ่งเพื่อเข้าถึงบัญชีของผู้ดูแลแพ็กเกจ ก่อนจะฝังมัลแวร์ลงในแพ็กเกจ NPM ซึ่งมียอดดาวน์โหลดรวมสูงถึง 2.6 พันล้านครั้งต่อสัปดาห์
Josh Junon (qix) ผู้ดูแลแพ็กเกจที่ตกเป็นเป้าหมายในการโจมตีแบบ supply chain attack ครั้งนี้ ได้ออกมายืนยันเมื่อวันที่ 8 กันยายน 2025 ว่า บัญชีของเขาถูกเข้าถึง โดยเปิดเผยว่า แฮ็กเกอร์ส่งอีเมลฟิชชิงมาจากที่อยู่อีเมล support [at] npmjs [dot] help ซึ่งเป็นโดเมนของเว็บไซต์ที่ปลอมเป็น npmjs.
ในช่วงไม่กี่เดือนที่ผ่านมา นักวิจัยด้านความปลอดภัยได้ตรวจพบแคมเปญ Phishing รูปแบบใหม่ที่มุ่งเป้าไปยังผู้ใช้ macOS โดยแฝงตัวมาในรูปแบบกระบวนการยืนยันตัวตนด้วย CAPTCHA
(more…)
ช่องโหว่ WinRAR (CVE-2025-8088) ที่เพิ่งถูกแก้ไข ถูกใช้ในปฏิบัติการฟิชชิงแบบ Zero-Day เพื่อติดตั้งมัลแวร์ RomCom
ช่องโหว่ Directory Traversal นี้ ได้รับการแก้ไขไปแล้วใน WinRAR เวอร์ชัน 7.13 ซึ่งก่อนหน้านี้สามารถทำให้ให้ไฟล์ archive ที่ถูกสร้างขึ้นเป็นพิเศษ สามารถแตกไฟล์ไปยังตำแหน่งที่ผู้โจมตีกำหนดได้
จากประวัติการเปลี่ยนแปลงของ WinRAR 7.13 ระบุว่า WinRAR, RAR และ UnRAR เวอร์ชันก่อนหน้า รวมถึงซอร์สโค้ดของ Portable UnRAR และ UnRAR.dll บน Windows อาจถูกหลอกให้ใช้ Path ที่กำหนดไว้ในไฟล์ archive แทนที่จะเป็น Path ที่ผู้ใช้ระบุเองขณะทำการแตกไฟล์
อย่างไรก็ตาม เวอร์ชันของ RAR และ UnRAR บน Unix รวมถึงซอร์สโค้ดของ Portable UnRAR, ไลบรารี UnRAR และ RAR บนระบบปฏิบัติการ Android ไม่ได้รับผลกระทบจากช่องโหว่นี้
โดยอาศัยช่องโหว่นี้ ผู้โจมตีสามารถสร้างไฟล์ archive ที่เมื่อแตกไฟล์แล้ว จะวางไฟล์ executables ลงใน Path ที่ระบบจะรันโดยอัตโนมัติ เช่น โฟลเดอร์ Startup ของ Windows ได้แก่ :
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (Local to user)
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (Machine-wide)
เมื่อผู้ใช้ล็อกอินเข้าสู่ระบบในครั้งถัดไป ไฟล์ปฏิบัติการดังกล่าวจะถูกรันโดยอัตโนมัติ ซึ่งจะเปิดโอกาสให้ผู้โจมตีรันโค้ดจากระยะไกลได้
เนื่องจาก WinRAR ไม่มีฟีเจอร์อัปเดตอัตโนมัติ จึงขอแนะนำให้ผู้ใช้ทุกคนดาวน์โหลด และติดตั้งเวอร์ชันล่าสุดด้วยตนเองจากเว็บไซต์ win-rar.
กลุ่ม APT (Advanced Persistent Threat) ที่ชื่อว่า ScarCruft ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ได้เริ่มปฏิบัติการโจมตีด้วยมัลแวร์รูปแบบใหม่ที่มีความซับซ้อน โดยมุ่งเป้าไปที่ผู้ใช้งานในเกาหลีใต้ผ่านการแจ้งเตือนปลอมเกี่ยวกับการอัปเดตรหัสไปรษณีย์
(more…)
มัลแวร์ตัวใหม่บน Linux ชื่อ Koske คาดว่าถูกพัฒนาด้วย AI และใช้ภาพ JPEG ของหมีแพนด้าที่ดูเหมือนไม่เป็นอันตรายเพื่อส่งมัลแวร์เข้าสู่หน่วยความจำของระบบโดยตรง
(more…)
มัลแวร์ตระกูลใหม่ที่มีชื่อว่า LameHug กำลังใช้ large language model (LLM) เพื่อสร้างชุดคำสั่งสำหรับเรียกใช้บนระบบ Windows ที่ถูกโจมตีได้สำเร็จ
(more…)
Mainboard ของ Gigabyte มากกว่าร้อยรุ่นที่ใช้ UEFI firmware มีช่องโหว่ด้านความปลอดภัย ที่อาจทำให้ผู้โจมตีสามารถฝังมัลแวร์ประเภท bootkit ซึ่งเป็นมัลแวร์ที่ระบบปฏิบัติการไม่สามารถตรวจจับได้ และยังคงแฝงตัวอยู่ได้แม้ผู้ใช้จะทำการติดตั้งระบบปฏิบัติการใหม่แล้วก็ตาม
ช่องโหว่เหล่านี้อาจทำให้ผู้โจมตีที่มีสิทธิ์ในระดับผู้ดูแลระบบ (ทั้งแบบเข้าถึงจากเครื่องโดยตรง หรือจากระยะไกล) สามารถเรียกใช้โค้ดใด ๆ ก็ได้ตามต้องการใน System Management Mode (SMM) ซึ่งเป็นสภาพแวดล้อมที่แยกออกจากระบบปฏิบัติการ (OS) และมีสิทธิ์ในการเข้าถึงเครื่องที่มากกว่า
กลไกที่ทำงานในระดับที่ต่ำกว่าระบบปฏิบัติการ (OS) จะสามารถเข้าถึงฮาร์ดแวร์ได้โดยตรง และเริ่มทำงานตั้งแต่ตอนบูตเครื่อง ด้วยเหตุนี้ มัลแวร์ที่แฝงตัวอยู่ในสภาพแวดล้อมดังกล่าวจึงสามารถ bypass การป้องกันความปลอดภัยแบบมาตรฐานที่มีอยู่ในระบบได้
UEFI หรือ Unified Extensible Firmware Interface เป็น firmware ที่มีความปลอดภัยมาก เนื่องจากมีฟีเจอร์ Secure Boot ที่ใช้ในการตรวจสอบด้วยวิธีการเข้ารหัส เพื่อให้แน่ใจว่าโค้ดที่อุปกรณ์ใช้ในการบูตเครื่องนั้นปลอดภัย และเชื่อถือได้
ด้วยเหตุนี้ มัลแวร์ระดับ UEFI อย่าง bootkit ที่มีชื่อเสียง เช่น เช่น BlackLotus, CosmicStrand, MosaicAggressor, MoonBounce และ LoJax จึงสามารถฝังโค้ดที่เป็นอันตรายให้ทำงานได้ทุกครั้งที่มีการเปิดเครื่อง
Mainboards จำนวนมากที่ได้รับผลกระทบ
ช่องโหว่ทั้ง 4 รายการนี้ ถูกพบใน firmware ที่ Gigabyte นำมาใช้งาน โดยถูกค้นพบโดยนักวิจัยจากบริษัทด้านความปลอดภัย firmware ที่ชื่อ Binarly ซึ่งได้แบ่งปันข้อมูลการค้นพบนี้กับศูนย์ประสานงาน CERT (CERT/CC) ของมหาวิทยาลัย Carnegie Mellon
Supplier ของ firmware รายหลักคือบริษัท American Megatrends Inc.
ปัจจุบันมัลแวร์ Stealer ไม่เพียงขโมยรหัสผ่านอีกต่อไป ปัจจุบันมัลแวร์สามารถขโมยเซสชันที่กำลังใช้งานอยู่ และผู้โจมตีสามารถดำเนินการได้อย่างรวดเร็ว และมีประสิทธิภาพมากขึ้น
การวิจัยล่าสุดของ Flare ที่ชื่อว่า The Account and Session Takeover Economy ได้วิเคราะห์ Log จากมัลแวร์ Stealer กว่า 20 ล้านรายการ และติดตามพฤติกรรมของผู้ไม่หวังดีผ่าน channels Telegram และบน Dark Web ผลการวิเคราะห์เปิดเผยว่าผู้ไม่หวังดีใช้เครื่องของพนักงานที่ติดมัลแวร์เป็นช่องทางเข้ายึดเซสชันขององค์กรได้ภายในไม่ถึง 24 ชั่วโมงหลังการติดมัลแวร์
(more…)
พบแคมเปญการโจมตีแบบ SEO poisoning ของมัลแวร์ Bumblebee ที่ปลอมแปลงเป็น open-source ยอดนิยม แล้วทำการโฆษณาแบบ SEO เพื่อหลอกให้พนักงานฝ่ายไอทีโหลดไปใช้
BleepingComputer พบว่าแคมเปญการโจมตีดังกล่าวมี open-source ยอดนิยมที่ถูกใช้ในการโจมตีได้แก่ Zenmap ซึ่งเป็นเครื่องมือ Nmap network scanning แบบ GUI และ WinMTR เครื่องมือ tracerout utility (more…)
นักวิจัยด้านความปลอดภัยทางไซเบอร์ พบแคมเปญฟิชชิงรูปแบบใหม่ที่ใช้ในการแพร่กระจายมัลแวร์ที่ชื่อว่า Horabot โดยมีเป้าหมายโจมตีผู้ใช้ระบบปฏิบัติการ Windows ในประเทศแถบละตินอเมริกา เช่น เม็กซิโก, กัวเตมาลา, โคลอมเบีย, เปรู, ชิลี และอาร์เจนตินา
Cara Lin นักวิจัยจาก Fortinet FortiGuard Labs ระบุว่า แคมเปญนี้ "ใช้การสร้างอีเมลปลอมที่แอบอ้างว่าเป็นใบแจ้งหนี้ หรือเอกสารทางการเงิน เพื่อหลอกล่อให้เหยื่อเปิดไฟล์แนบที่เป็นอันตราย ซึ่งสามารถขโมยข้อมูล credentials ของอีเมล, รายชื่อผู้ติดต่อ และติดตั้ง banking trojans ได้"
(more…)