WordPress plugins หลายรายการของ ShapedPlugin ถูกเจาะระบบผ่านการโจมตีแบบ Supply chain attack โดยมีการเผยแพร่เวอร์ชันที่ติดมัลแวร์ไปยังลูกค้าผ่านทางระบบอัปเดตอย่างเป็นทางการของผู้จำหน่าย (more…)

เฟรมเวิร์กของมัลแวร์ขโมยข้อมูล Credential ชื่อ Miasma ซึ่งล่าสุดถูกนำมาใช้ในการโจมตีแบบ Supply Chain Attack ต่อระบบของโครงการ Open Source ได้ถูกนำขึ้นเผยแพร่แบบ Open Source บน GitHub เป็นช่วงเวลาสั้น ๆ (more…)

 

GitHub ได้เปิดตัวระบบควบคุมใหม่สำหรับ npm เพื่อยกระดับความปลอดภัยของ software supply chain โดยให้สิทธิ์ Maintainers ต้องอนุมัติการเผยแพร่ ก่อนที่แพ็กเกจเหล่านั้นจะถูกเปิดสู่สาธารณะเพื่อให้บุคคลทั่วไปติดตั้งได้

ฟีเจอร์นี้มีชื่อว่า Staged publishing ซึ่งปัจจุบันเปิดให้ใช้งานทั่วไปแล้วบน npm โดยระบบจะบังคับให้ผู้ดูแลแพ็กเกจ (ที่เป็นมนุษย์) ต้องผ่านการยืนยันตัวตนแบบ 2FA เพื่ออนุมัติแพ็กเกจ ก่อนที่แพ็กเกจนั้นจะถูกเผยแพร่ขึ้นไปยังเว็บ npmjs[.]com

GitHub ระบุว่า แทนที่จะเป็นการเผยแพร่โดยตรงซึ่งทำให้ผู้ใช้งานสามารถนำแพ็กเกจเวอร์ชันนั้นไปใช้งานได้ทันที ไฟล์ tarball ที่ prebuilt จะถูกอัปโหลดไปพักไว้ใน stage queue ก่อน ซึ่งผู้ดูแลจะต้องทำการอนุมัติเสียก่อน แพ็กเกจนั้นจึงจะสามารถนำไปติดตั้งได้

GitHub ระบุว่า การเปลี่ยนแปลงนี้ช่วยรับประกันการยืนยันตัวตนว่ามีบุคคลอยู่จริงสำหรับทุก ๆ การเผยแพร่ ซึ่งรวมถึงการเผยแพร่ที่มาจากกระบวนการ CI/CD แบบ Non-interactive และการเผยแพร่ที่ Trusted publishing ผ่านการยืนยันตัวตนด้วยระบบ OpenID Connect (OIDC)

ก่อนที่จะใช้งานระบบ Staged publishing ผู้ดูแลแพ็กเกจจะต้องมีคุณสมบัติตรงตามเกณฑ์ดังต่อไปนี้ :

มีสิทธิ์ในการ Publish สำหรับแพ็กเกจนั้น
แพ็กเกจนั้นจะต้องมีอยู่แล้วบน npm registry ซึ่งหมายความว่าแพ็กเกจที่สร้างขึ้นมาใหม่เลย จะไม่สามารถใช้งานระบบ Staged ได้
บัญชีผู้ใช้เปิดใช้งานระบบ 2FA แล้ว

นักพัฒนาสามารถใช้คำสั่ง npm stage publish จาก Root directory ของแพ็กเกจ เพื่อส่งแพ็กเกจนั้นเข้าสู่ Staging area ได้ โดยในการใช้งานคำสั่งนี้ จำเป็นอย่างยิ่งที่จะต้องอัปเดต npm CLI ให้เป็นเวอร์ชัน 11.15.0 หรือใหม่กว่า นอกจากนี้ เพื่อการป้องกันที่มีประสิทธิภาพสูงสุด GitHub แนะนำให้ใช้งานระบบ Staged publishing ควบคู่ไปกับ Trusted publishing โดยใช้ OIDC

--allow-file: ควบคุมการติดตั้งจาก Local file paths และไฟล์ tarball ในเครื่อง
--allow-remote: ควบคุมการติดตั้งจาก Remote URLs รวมถึงไฟล์ tarball ผ่านลิงก์ https
--allow-directory: ควบคุมการติดตั้งจากไดเรกทอรีภายในเครื่อง

GitHub ระบุว่า flag เหล่านี้ช่วยให้นักพัฒนาสามารถใช้วิธีการกำหนดรายการ Explicit-allowlist แบบเดียวกันนี้ กับทุก ๆ แหล่งการติดตั้งที่ไม่ได้มาจาก Registry ของ npm โดยตรงได้

การพัฒนาในครั้งนี้เกิดขึ้นท่ามกลางการโจมตี Software supply chain attacks ที่พุ่งสูงขึ้นอย่างมาก ซึ่งมุ่งเป้าไปที่ระบบนิเวศของโอเพนซอร์สในช่วงไม่กี่เดือนที่ผ่านมา โดยมีกลุ่มอาชญากรไซเบอร์กลุ่มหนึ่งที่ชื่อว่า TeamPCP ได้โจมตีแพ็กเกจยอดนิยมในระดับที่ไม่เคยมีมาก่อน ผ่านการเจาะระบบที่สามารถแพร่กระจาย และดำเนินต่อไปได้ด้วยตัวมันเอง

ที่มา : thehackernews

มีการค้นพบมัลแวร์บนระบบ Linux ที่ไม่เคยถูกบันทึกข้อมูลมาก่อนชื่อ Quasar Linux (QLNX) ซึ่งกำลังมุ่งเป้าโจมตีระบบของเหล่านักพัฒนา ด้วยความสามารถผสมผสานทั้งการเป็น Rootkit, Backdoor และการขโมยข้อมูล Credential

ชุดมัลแวร์นี้ ถูกนำไปใช้งานในสภาพแวดล้อมการพัฒนา และ DevOps บน npm, PyPI, GitHub, AWS, Docker และ Kubernetes ซึ่งอาจนำไปสู่การโจมตีแบบ Supply-chain โดยผู้ไม่หวังดีจะทำการเผยแพร่แพ็กเกจอันตรายลงบนแพลตฟอร์มการกระจายโค้ดต่าง ๆ

นักวิจัยจากบริษัทด้านความปลอดภัยทางไซเบอร์ Trend Micro ได้วิเคราะห์ QLNX และพบว่า "มันจะใช้เทคนิค Dynamically Compiles Rootkit shared objects และ PAM backdoor modules บนเครื่องเป้าหมายอัตโนมัติ โดยใช้ gcc [GNU Compiler Collection]"

รายงานจากบริษัทในสัปดาห์นี้ระบุว่า QLNX ถูกออกแบบมาเพื่อเน้นการซ่อนตัว และการแฝงตัวอยู่ระยะยาวโดยมันจะทำงานอยู่บนหน่วยความจำ พร้อมกับลบไฟล์ไบนารีต้นฉบับออกจากดิสก์, ลบ Logs, เปลี่ยนชื่อ Process และ Clear ค่า environment variables สำหรับการทำ forensics

มัลแวร์นี้ยังใช้กลไกการแฝงตัวที่แตกต่างกันถึง 7 รูปแบบ รวมถึง LD_PRELOAD, systemd, crontab, init.

การโจมตีแบบ Supply Chain Attack รูปแบบใหม่ มุ่งเป้าไปที่ Ecosystem ของ npm เพื่อขโมย credentials ของนักพัฒนา และพยายามแพร่กระจายแพ็กเกจผ่านบัญชีที่ถูก Compromised (more…)

Cisco ตกเป็นเหยื่อของการโจมตีทางไซเบอร์ หลังจากผู้โจมตีใช้ข้อมูล credentials ที่ขโมยมาจากเหตุการณ์การโจมตีแบบ Supply Chain Attack ของ Trivy เมื่อเร็ว ๆ นี้ เพื่อบุกรุกเข้าสู่ระบบการพัฒนาภายใน และขโมย Source Code ของบริษัทรวมถึงของลูกค้าไป

แหล่งข่าวที่ไม่ประสงค์ออกนามเปิดเผยกับ BleepingComputer ว่า ทีม Unified Intelligence Center, CSIRT และ EOC ของ Cisco สามารถควบคุมเหตุการณ์การบุกรุกที่เกี่ยวข้องกับ "GitHub Action plugin" ที่เป็นอันตราย ซึ่งได้รับผลกระทบมาจากการถูกโจมตีของ Trivy ได้แล้ว (more…)

กลุ่ม Hacker ในชื่อ TeamPCP ได้โจมตีในลักษณะ supply-chain attack อย่างต่อเนื่อง โดยล่าสุดได้เจาะระบบ LiteLLM ใน Python package ที่ได้รับความนิยมอย่างมากบน PyPI และอ้างว่าได้ขโมยข้อมูลจากอุปกรณ์หลายแสนเครื่องในระหว่างการโจมตี

(more…)

มีการตรวจพบแพ็กเกจอันตรายสองรายการใน crate repository อย่างเป็นทางการของ Rust ซึ่งมียอดดาวน์โหลดรวมเกือบ 8,500 ครั้ง โดยแพ็กเกจเหล่านี้ถูกออกแบบมาเพื่อแอบสแกนระบบของนักพัฒนา และขโมย cryptocurrency private keys รวมถึงข้อมูลสำคัญอื่น ๆ ในเครื่อง

Rust crates ถูกจัดเก็บ และเผยแพร่ผ่าน Crates.

การโจมตีแบบ supply chain attack ครั้งนี้ เกิดขึ้นจากการที่แฮ็กเกอร์ใช้วิธีการฟิชชิ่งเพื่อเข้าถึงบัญชีของผู้ดูแลแพ็กเกจ ก่อนจะฝังมัลแวร์ลงในแพ็กเกจ NPM ซึ่งมียอดดาวน์โหลดรวมสูงถึง 2.6 พันล้านครั้งต่อสัปดาห์

Josh Junon (qix) ผู้ดูแลแพ็กเกจที่ตกเป็นเป้าหมายในการโจมตีแบบ supply chain attack ครั้งนี้ ได้ออกมายืนยันเมื่อวันที่ 8 กันยายน 2025 ว่า บัญชีของเขาถูกเข้าถึง โดยเปิดเผยว่า แฮ็กเกอร์ส่งอีเมลฟิชชิงมาจากที่อยู่อีเมล support [at] npmjs [dot] help ซึ่งเป็นโดเมนของเว็บไซต์ที่ปลอมเป็น npmjs.

CoinMarketCap ซึ่งเป็นเว็บไซต์ติดตามราคาคริปโตชื่อดัง ถูกโจมตีทางไซเบอร์ผ่านช่องโหว่ในลักษณะ supply chain attack ของเว็บไซต์ ส่งผลให้ผู้ใช้งานที่เข้าชมเว็บไซต์ตกเป็นเป้าหมายของแคมเปญหลอกลวงเพื่อขโมยคริปโตจาก wallet (more…)