กลุ่มแฮ็กเกอร์ Earth Ammit ใช้เครื่องมือใหม่เพื่อโจมตีโดรนของทางการทหาร

กลุ่มผู้ไม่หวังดีที่รู้จักกันในชื่อ Earth Ammit ซึ่งเชื่อว่ามีความเกี่ยวข้องกับกลุ่ม APT ที่ใช้ภาษาจีน กำลังกลายเป็นภัยคุกคามที่สำคัญต่อภาคทางการทหาร และอุตสาหกรรมในเอเชียตะวันออก

กลุ่มนี้ได้วางแผนการโจมตีสองครั้งที่แตกต่างกัน คือ VENOM และ TIDRONE โดยมุ่งเป้าไปที่ประเทศไต้หวัน และเกาหลีใต้เป็นหลัก

โดยมุ่งเน้นไปที่การแทรกซึมเข้าสู่ระบบ โดยเฉพาะอย่างยิ่งในอุตสาหกรรมโดรน และการทหาร แสดงให้เห็นถึงเจตนาเชิงกลยุทธ์ในการโจมตีเป้าหมายที่มีมูลค่าสูง

(more…)

แพ็กเกจ PyPI ที่เป็นอันตรายปลอมเป็น Solana tools เพื่อขโมย Source Code มีการดาวน์โหลดไปแล้ว 761 ครั้ง

นักวิจัยด้านความปลอดภัยไซเบอร์พบแพ็กเกจอันตรายบน PyPI ที่แอบอ้างว่าเป็นแอปพลิเคชันที่เกี่ยวข้องกับบล็อกเชน Solana แต่จริง ๆ แล้วมันมีฟังก์ชันที่ออกแบบมาเพื่อขโมยซอร์สโค้ด และข้อมูลที่เป็นความลับของนักพัฒนา แพ็กเกจนี้ชื่อว่า solana-token ซึ่งปัจจุบันไม่สามารถดาวน์โหลดได้จาก PyPI แล้ว แต่แพ็กเกจนี้ถูกดาวน์โหลดไปแล้วถึง 761 ครั้ง โดยพบว่าแพ็กเกจนี้ถูกเผยแพร่ครั้งแรกในเดือนเมษายน 2024 โดยใช้ระบบการตั้งเวอร์ชันที่แตกต่างจากมาตรฐานทั่วไป

เมื่อถูกติดตั้ง แพ็กเกจอันตรายจะพยายามขโมยซอร์สโค้ด และข้อมูลที่เป็นความลับของนักพัฒนาจากเครื่องของนักพัฒนาไปยัง IP Address ที่กำหนดไว้ล่วงหน้า โดยเฉพาะแพ็กเกจนี้จะคัดลอก และขโมยซอร์สโค้ดจากไฟล์ทั้งหมดในสแต็กของการประมวลผล Python โดยอ้างว่าเป็นฟังก์ชันบล็อกเชนที่ชื่อ "register_node()" พฤติกรรมที่ผิดปกตินี้แสดงให้เห็นว่าผู้โจมตีอาจมุ่งเป้าไปที่การขโมยข้อมูลลับที่เกี่ยวข้องกับคริปโต ซึ่งอาจถูกตั้งค่าไว้ล่วงหน้าในระหว่างการพัฒนาโปรแกรมที่มีฟังก์ชันอันตรายนี้อยู่

นักพัฒนาที่ต้องการสร้างบล็อกเชนของตัวเองน่าจะเป็นกลุ่มเป้าหมายของผู้โจมตีที่อยู่เบื้องหลังแพ็กเกจนี้ ซึ่งการประเมินนี้อ้างอิงจากชื่อแพ็กเกจ และฟังก์ชันที่ถูกสร้างไว้ภายใน.

วิธีการที่แพ็กเกจนี้ถูกเผยแพร่ไปยังผู้ใช้งานยังไม่เป็นที่แน่ชัด แต่มีความเป็นไปได้ว่าแพ็กเกจนี้อาจถูกโปรโมทในแพลตฟอร์มที่มุ่งเน้นไปยังนักพัฒนา

การค้นพบนี้แสดงให้เห็นว่า สกุลเงินดิจิทัลยังคงเป็นเป้าหมายหลักของผู้โจมตี ซึ่งทำให้การตรวจสอบแพ็กเกจทุกตัวอย่างละเอียดก่อนใช้งานเป็นสิ่งที่นักพัฒนาควรให้ความสำคัญ

Zanki ระบุว่า ทีมพัฒนาควรเฝ้าระวังการดำเนินการที่น่าสงสัย หรือการเปลี่ยนแปลงที่ไม่สามารถอธิบายได้ทั้งในซอฟต์แวร์โอเพนซอร์ส และซอฟต์แวร์เชิงพาณิชย์ของ third-party เพื่อป้องกันการโจมตีแบบ supply chain การหยุดโค้ดที่เป็นอันตรายก่อนที่จะเข้าสู่ระบบ, การพัฒนาระบบอย่างปลอดภัย จะช่วยให้ทีมสามารถป้องกันความเสียหายได้

ที่มา : thehackernews

พบการโจมตีแบบ Supply Chain Attack ในไลบรารี web3.js ของ Solana

พบการโจมตีแบบ Supply Chain Attack ในเวอร์ชัน 1.95.6 และ 1.95.7 ของไลบรารี '@solana/web3.js' ที่ได้รับการดาวน์โหลดไปแล้วมากกว่า 350,000 ครั้งต่อสัปดาห์ จาก npm

เวอร์ชันที่ถูกโจมตีเหล่านี้มีการฝังโค้ดที่เป็นอันตรายที่ออกแบบมาเพื่อขโมย private keys จากนักพัฒนา และผู้ใช้งานที่ไม่ระมัดระวัง ซึ่งอาจทำให้ผู้โจมตีสามารถดึงเงินคริปโทเคอร์เรนซีจากกระเป๋าเงินของผู้ใช้งานได้

(more…)

แฮ็กเกอร์ใช้ Google Command and Control เครื่องมือของ Red Team ในการโจมตี

กลุ่มแฮ็กเกอร์ชื่อว่า APT41 ซึ่งคาดว่าเป็นกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐจีน ถูกพบว่ามีการใช้ GC2 (Google Command and Control) ซึ่งเป็นเครื่องมือของ Red Team ในการโจมตีเพื่อขโมยข้อมูลจากสื่อไต้หวัน และบริษัทจัดหางานของอิตาลี

APT41 หรือที่รู้จักกันในชื่อ HOODOO เป็นกลุ่มแฮ็กเกอร์ที่คาดว่าได้รับการสนับสนุนจากรัฐจีน ซึ่งมุ่งเป้าไปที่อุตสาหกรรมที่หลากหลายในสหรัฐอเมริกา เอเชีย และยุโรป โดย Mandiant ได้ติดตามแฮ็กเกอร์กลุ่มนี้ตั้งแต่ปี 2014 ระบุว่า พฤติกรรมของแฮ็กเกอร์กลุ่มนี้คาบเกี่ยวกับกลุ่มแฮ็กเกอร์จีนอื่น ๆ ที่รู้จักกันดี เช่น BARIUM และ Winnti

ในรายงาน Threat Vision ประจำเดือนเมษายน 2023 ของ Google ที่เผยแพร่เมื่อวันศุกร์ที่ผ่าน (more…)