สงครามไซเบอร์เงียบ: สปายระดับโลกใช้ช่องโหว่ Android และ ZipperDown โจมตีผ่านอีเมลเพียงคลิกเดียว

รายงานล่าสุดจากทีม RedDrip ของ QiAnXin เผยการโจมตีไซเบอร์ระดับสูงโดยกลุ่ม APT (Advanced Persistent Threat) จากภูมิภาคเอเชียตะวันออกเฉียงเหนือ ที่ใช้ช่องโหว่แบบ zero-day บน Android และแอปอีเมลเพื่อเข้าควบคุมบัญชีผู้ใช้และรันคำสั่งในเครื่องเป้าหมายได้ทันทีเพียงแค่ “คลิกเปิดอีเมล”

ช่องโหว่ ZipperDown ถูกใช้จริงครั้งแรก
ZipperDown เป็นช่องโหว่ที่ถูกค้นพบตั้งแต่ปี 2018 โดย Pangu Lab แต่ไม่เคยมีรายงานการใช้งานจริงมาก่อน จนกระทั่ง RedDrip พบว่ากลุ่ม APT ใช้ช่องโหว่นี้โจมตี Android โดยแนบไฟล์ DAT ที่มีมัลแวร์ในอีเมล เมื่อเหยื่อคลิกเปิดอีเมลบนมือถือ มัลแวร์จะถูกปล่อยทันที

พฤติกรรมมัลแวร์ที่เปลี่ยนแปลงตามเวลา
ปี 2022–2023: ใช้ช่องโหว่ในระบบประมวลผลภาพ IMG เพื่อฝัง backdoor ผ่านไฟล์ SO ที่ดูเหมือน libttmplayer_lite.so

ปี 2024–2025: เปลี่ยนเป็น libpanglearmor.so ที่โหลด APK Trojan จากเซิร์ฟเวอร์ และรันในหน่วยความจำ พร้อมส่งข้อมูล Wi-Fi และคำสั่งกลับไปยังเซิร์ฟเวอร์ควบคุม

ช่องโหว่ ZipperDown ถูกใช้โจมตีจริง
แนบไฟล์ DAT ในอีเมล Android
คลิกเปิดอีเมล = มัลแวร์ถูกปล่อยทันที

พฤติกรรมมัลแวร์เปลี่ยนตามปี
2022–2023: ใช้ libttmplayer_lite.so ฝัง backdoor
2024–2025: ใช้ libpanglearmor.so โหลด APK Trojan และส่งข้อมูลกลับ

เทคนิคขโมยบัญชีแบบไร้รหัสผ่าน
ฝัง JavaScript ผ่าน IMG tag ในอีเมล
ใช้ API ภายในอ่านไฟล์ token และ config
เข้าถึงอีเมลและไฟล์โดยไม่ต้องใช้รหัสผ่าน

ความเสี่ยงจากการเปิดอีเมลบนมือถือ
คลิกเปิดอีเมลอาจปล่อยมัลแวร์ทันที
มัลแวร์สามารถควบคุมแอปและขโมยข้อมูลได้

ช่องโหว่ในแอปอีเมล Android
API ภายในเปิดทางให้แฮกเกอร์อ่านไฟล์สำคัญ
การฝัง JavaScript ผ่าน IMG tag เป็นช่องทางใหม่ที่อันตราย

นี่คือการยกระดับของสงครามไซเบอร์ที่ไม่ต้องใช้การเจาะระบบแบบเดิมอีกต่อไป แค่ “คลิกเปิดอีเมล” ก็อาจเปิดประตูให้ผู้ไม่หวังดีเข้าถึงทุกอย่างในเครื่องของคุณ—โดยที่คุณไม่รู้ตัว.

https://securityonline.info/global-spies-use-zipperdown-and-android-zero-days-for-1-click-email-client-rce-and-account-takeover/

หัวข้อข่าว: Microsoft ปรับชื่ออัปเดต Windows แบบใหม่—สั้นลงแต่ทำ IT ปวดหัว

Microsoft ได้เปลี่ยนรูปแบบการตั้งชื่ออัปเดต Windows โดยตัดข้อมูลสำคัญออกไป เช่น เวอร์ชันระบบปฏิบัติการ, สถาปัตยกรรม, เดือนและปีของการปล่อยอัปเดต ซึ่งเคยช่วยให้ผู้ดูแลระบบและผู้ใช้ทั่วไปสามารถระบุอัปเดตได้อย่างแม่นยำ การเปลี่ยนแปลงนี้จุดชนวนให้เกิดกระแสวิพากษ์วิจารณ์จากชุมชน IT อย่างกว้างขวาง

รูปแบบชื่อเดิมของอัปเดต Windows
ตัวอย่าง: Cumulative Update Preview for Windows 11 Version 24H2 for x64-based Systems (KB5065789) (26100.6725)
มีข้อมูลครบถ้วน เช่น ประเภทอัปเดต, เวอร์ชัน OS, สถาปัตยกรรม, เดือน/ปี, รหัส KB, และ build number

รูปแบบชื่อใหม่ที่ Microsoft นำมาใช้
ตัวอย่าง: Security Update (KB5034123) (26100.4747)
ตัดข้อมูลสำคัญออก เหลือเพียงประเภทอัปเดต, รหัส KB และ build number

เหตุผลของ Microsoft
ต้องการให้ชื่ออัปเดตอ่านง่ายขึ้นในหน้า Settings และประวัติการอัปเดต
อ้างว่าเป็นประโยชน์ต่อ OEM และพันธมิตรด้านบริการ

เสียงคัดค้านจากผู้ดูแลระบบ
มองว่าชื่อใหม่ทำให้ยากต่อการติดตามและวิเคราะห์ปัญหา
เรียกร้องให้ Microsoft กลับไปใช้รูปแบบเดิมที่ให้ข้อมูลครบถ้วน

ตัวอย่างชื่ออัปเดตในรูปแบบใหม่
Monthly Security: Security Update (KB5034123) (26100.4747)
Preview: Preview Update (KB5062660) (26100.4770)
.NET: .NET Framework Security Update (KB5056579)
Driver: Logitech Driver Update (123.331.1.0)
AI Component: Phi Silica AI Component Update (KB5064650) (1.2507.793.0)

https://securityonline.info/streamlined-microsoft-strips-critical-info-from-windows-update-names-causing-it-backlash/

ทำไม Nextcloud ถึงรู้สึกช้า? เมื่อ JavaScript กลายเป็นตัวถ่วงประสบการณ์ผู้ใช้

ผู้ใช้รายหนึ่งที่ตั้งใจใช้ Nextcloud เป็นศูนย์รวมบริการส่วนตัว เช่น ไฟล์, ปฏิทิน, โน้ต, รายการสิ่งที่ต้องทำ ฯลฯ ได้แชร์ประสบการณ์ว่า แม้จะใช้เซิร์ฟเวอร์ที่มีประสิทธิภาพดีและปรับแต่งแล้ว แต่ Nextcloud ก็ยังรู้สึกช้าอย่างน่าหงุดหงิด

เมื่อเปิด Developer Tools เพื่อวิเคราะห์ พบว่า Nextcloud โหลด JavaScript จำนวนมหาศาลในแต่ละหน้า — มากถึง 15–20 MB ต่อการโหลดหนึ่งครั้ง (แม้จะถูกบีบอัดเหลือ 4–5 MB ก็ยังถือว่าหนักมาก)

ตัวอย่างเช่น:
core-common.js ขนาด 4.71 MB
NotificationsApp.chunk.mjs ขนาด 1.06 MB
Calendar app ใช้ 5.94 MB เพื่อแสดงปฏิทินพื้นฐาน
Files app มีหลายไฟล์ย่อย เช่น EditorOutline (1.77 MB), previewUtils (1.17 MB), emoji-picker (0.9 MB)
Notes app ใช้ 4.36 MB สำหรับ editor พื้นฐาน

แม้จะมีการแคชในเบราว์เซอร์ แต่ทุกครั้งที่เข้าใช้งาน ผู้ใช้ต้องรอให้เบราว์เซอร์ประมวลผลโค้ดทั้งหมดอีกครั้ง ซึ่งใช้เวลานาน โดยเฉพาะในเครือข่ายที่ช้า หรืออุปกรณ์ที่ไม่แรงมาก เช่น iPhone 13 mini

ผู้เขียนบทความจึงเริ่มแยกบางฟีเจอร์ออกจาก Nextcloud เช่น ใช้ Vikunja แทน Tasks app และ Immich แทน Photos ซึ่งให้ประสบการณ์ที่เร็วกว่าอย่างชัดเจน

Nextcloud ใช้ JavaScript จำนวนมากในการโหลดแต่ละหน้า
โหลด 15–20 MB ต่อหน้า แม้บีบอัดแล้วก็ยังหนัก
ส่งผลให้การใช้งานรู้สึกช้า แม้ใช้ฮาร์ดแวร์ดี

แอปต่าง ๆ ใน Nextcloud มีขนาดไฟล์ JS ใหญ่เกินจำเป็น
Calendar app ใช้ 5.94 MB
Files app รวมแล้วเกือบ 19 MB
Notes app ใช้ 4.36 MB สำหรับ editor พื้นฐาน

ผู้ใช้เริ่มแยกบริการบางส่วนออกจาก Nextcloud
ใช้ Vikunja แทน Tasks app (โหลดเพียง 1.5 MB)
ใช้ Immich แทน Photos เพื่อความเร็วที่ดีกว่า

ความสะดวกของ Nextcloud ยังเป็นจุดแข็ง
รวมหลายบริการไว้ในที่เดียว
ยังคงใช้งานบางฟีเจอร์ต่อไปเพราะไม่มีทางเลือกที่ดีกว่า

https://ounapuu.ee/posts/2025/11/03/nextcloud-slow/

โลกนักพัฒนาเปลี่ยนไปแล้ว: GitHub Octoverse 2025 ชี้ AI และ TypeScript คือพลังขับเคลื่อนใหม่

GitHub เพิ่งปล่อยรายงาน Octoverse ประจำปี 2025 ซึ่งเผยให้เห็นการเปลี่ยนแปลงครั้งใหญ่ในโลกของนักพัฒนา โดยมีการเติบโตแบบก้าวกระโดดทั้งในจำนวนผู้ใช้และโครงการใหม่ ๆ ที่เกิดขึ้นบนแพลตฟอร์ม

TypeScript ได้แซงหน้า Python และ JavaScript ขึ้นเป็นภาษาที่มีผู้ใช้มากที่สุดบน GitHub ในเดือนสิงหาคม 2025 โดยมีอัตราการเติบโตสูงถึง 66.63% ต่อปี ขณะที่ Python ยังคงครองพื้นที่ในสายงาน AI และ Data Science ด้วยการเติบโต 48.78% ส่วน JavaScript เติบโตเพียง 24.79%

อินเดียกลายเป็นประเทศที่มีผู้ลงทะเบียนบัญชี GitHub ใหม่มากที่สุดในโลก โดยมีนักพัฒนาใหม่กว่า 5.2 ล้านคนในปีเดียว คิดเป็น 14% ของผู้ใช้ใหม่ทั้งหมด แม้สหรัฐฯ ยังเป็นแหล่งที่มาของการมีส่วนร่วมมากที่สุด แต่แนวโน้มของอินเดียกำลังพุ่งแรง และคาดว่าจะมีนักพัฒนาถึง 57.5 ล้านคนภายในปี 2030

AI คือหัวใจของการเติบโตในโอเพ่นซอร์ส โดย 6 จาก 10 โครงการที่เติบโตเร็วที่สุดเป็นโครงสร้างพื้นฐานด้าน AI เช่น vllm, cline, home-assistant, ragflow และ sglang ซึ่งแซงหน้าโครงการยอดนิยมอย่าง VS Code, Godot และ Flutter

GitHub ยังเผยว่าในปี 2025 มีการสร้าง repository ใหม่กว่า 121 ล้านแห่ง รวมเป็นทั้งหมด 630 ล้าน repository บนแพลตฟอร์ม โดยมีการ commit เกือบ 1 พันล้านครั้งในปีเดียว และ merge pull request เฉลี่ย 43.2 ล้านครั้งต่อเดือน

GitHub มีนักพัฒนากว่า 180 ล้านคนทั่วโลก
เพิ่มขึ้น 36 ล้านคนในปีเดียว เฉลี่ยมีผู้สมัครใหม่ทุกวินาที

มี repository ทั้งหมด 630 ล้านแห่ง
เพิ่มขึ้น 121 ล้านแห่งในปี 2025
สร้าง repository ใหม่เฉลี่ย 230+ แห่งต่อนาที

81.5% ของการมีส่วนร่วมเกิดใน repository แบบ private
แม้ public repo จะมีมากกว่า แต่การพัฒนาเกิดหลังฉาก

TypeScript แซง Python และ JavaScript ขึ้นเป็นภาษายอดนิยม
เติบโต 66.63% ต่อปี มีผู้ใช้เพิ่มกว่า 1 ล้านคน
Python เติบโต 48.78% และ JavaScript 24.79%

อินเดียเป็นแหล่งผู้ใช้ใหม่มากที่สุด
เพิ่ม 5.2 ล้านคนในปีเดียว คิดเป็น 14% ของผู้ใช้ใหม่
คาดว่าจะมีนักพัฒนาถึง 57.5 ล้านคนในปี 2030

6 จาก 10 โครงการโอเพ่นซอร์สที่เติบโตเร็วที่สุดเป็นด้าน AI
ได้แก่ vllm, cline, home-assistant, ragflow, sglang
เติบโตเร็วกว่าฐานเดิมอย่าง VS Code และ Flutter

https://news.itsfoss.com/github-octoverse-2025/

Buy Verified Stripe Accounts
https://smmbostsell.com/product/buy-verified-stripe-accounts/
24 Hours Reply/Contact

✓➤Telegram: smmbostsell

✓➤WhatsApp: +1(909)202-1828

✓➤Email: smmbostsell@gmail.com

#buyverifiedstripeaccounts #seo #socialmedia #digitalmarketer #seoservice #usaaccount #topseller

หัวข้อข่าว: “Apple M5 มาแรง แต่ M1 Max ยังไม่ยอมแพ้ – ศึกชิปแห่งยุคที่เลือกไม่ง่าย”

ลองนึกภาพว่าคุณกำลังถือ MacBook Pro ที่ใช้ชิป M1 Max อยู่ แล้วจู่ๆ Apple ก็เปิดตัว M5 รุ่นใหม่ล่าสุดที่เน้นประสิทธิภาพด้าน AI และการประหยัดพลังงาน คุณจะอัปเกรดดีไหม? บทความจาก TechRadar ชวนเรามาคิดให้ลึกขึ้น เพราะแม้ M5 จะใหม่กว่า แต่ M1 Max ก็ยังมีพลังดิบที่เหนือกว่าในหลายด้าน โดยเฉพาะงานกราฟิกและการประมวลผลหนักๆ

Apple M5 ถูกออกแบบมาเพื่อความเบา เร็ว และฉลาดขึ้น โดยเน้นการใช้งานทั่วไปและงานที่เกี่ยวกับ AI เช่น การแปลเสียงแบบเรียลไทม์ หรือการปรับภาพถ่ายอัตโนมัติ ส่วน M1 Max นั้นยังคงเป็นขุมพลังสำหรับสายโปรที่ต้องการ GPU แรงๆ และแบนด์วิดท์หน่วยความจำสูงถึง 400GB/s ซึ่งมากกว่า M5 ถึงเกือบ 3 เท่า

แม้ M5 จะมีคะแนน multi-core สูงกว่า M1 Max แต่ในงานที่ต้องใช้ GPU หนักๆ เช่น การเรนเดอร์ 3D หรือการตัดต่อวิดีโอหลายเลเยอร์ M1 Max ยังทำได้ดีกว่า และถ้าคุณเป็นสายครีเอทีฟที่ต้องการความเร็วแบบไม่สะดุด M1 Max ก็ยังเป็นตัวเลือกที่น่าเกรงขาม

แต่ถ้าคุณต้องการเครื่องที่เบา เงียบ แบตอึด และรองรับงาน AI ได้ดี M5 ก็เป็นตัวเลือกที่น่าสนใจมาก โดยเฉพาะใน iPad Pro และ MacBook รุ่นใหม่ที่เน้นความบางเบา

M1 Max ยังแรงในงานกราฟิกและ throughput สูง
มี GPU 32-core และ memory bandwidth สูงถึง 400GB/s
เหมาะกับงานตัดต่อวิดีโอหลายเลเยอร์และเรนเดอร์ภาพ 3D

M5 เน้นประสิทธิภาพต่อวัตต์และ AI
ใช้พลังงานน้อยลง เหมาะกับอุปกรณ์บางเบา
Neural Engine ทำงานได้ถึง 133 TOPS เทียบกับ M1 Max ที่ 11 TOPS
เหมาะกับงาน AI เช่น transcription และ photo enhancement

คะแนน CPU multi-core ของ M5 สูงกว่า M1 Max
M5 ได้ประมาณ 17,865 คะแนน ส่วน M1 Max ได้ 13,188
เหมาะกับงานทั่วไปและการเขียนโค้ดที่เน้นความเร็วแบบ burst

M5 มี GPU core น้อยกว่า M1 Max
M5 มี GPU 10-core เท่านั้น
ไม่เหมาะกับงานกราฟิกหนักๆ หรือการเล่นเกมระดับสูง

M5 Max (ยังไม่เปิดตัว) อาจเป็นตัวแทนที่แท้จริงของ M1 Max
คาดว่าจะมี GPU 32-core และ memory bandwidth 550GB/s
อาจรวมข้อดีของ M1 Max และ M5 เข้าด้วยกัน

อย่ารีบอัปเกรดเป็น M5 หากคุณใช้ M1 Max เพื่อทำงานหนัก
M5 ยังไม่สามารถแทนที่ M1 Max ได้ในงานกราฟิกหรือวิดีโอระดับโปร

M5 ไม่เหมาะกับงานที่ต้องใช้ memory bandwidth สูง
เช่น การ export วิดีโอจาก Final Cut Pro หรือการทำงานกับไฟล์ Photoshop ขนาดใหญ่

อย่าคาดหวังว่า M5 จะให้ประสบการณ์เหมือน M1 Max
แม้จะใหม่กว่า แต่ M5 ถูกออกแบบมาเพื่อความเบาและประหยัดพลังงาน ไม่ใช่ความแรงสูงสุด

https://www.techradar.com/pro/stop-should-you-upgrade-your-m1-max-apple-mac-to-the-m5-gpu-and-memory-bandwidth-data-reveal-the-surprising-answer

ข่าวเด็ดสายเกม: เมื่อรถถังกลายเป็นเกมจริง!

ถ้าคุณคิดว่าเกมจำลองขับรถถังแค่ใช้จอยสติ๊กกับจอภาพธรรมดา... คุณยังไม่เคยเจอ "Blyat" นักสร้างสรรค์สุดบ้าพลังจากจีน ที่ยกระดับการเล่นเกม World of Tanks ไปอีกขั้น ด้วยการสร้าง “Tank Simulator 5” ที่ไม่ใช่แค่จำลอง แต่เป็นการสร้าง “รถถังจำลองเต็มคัน” พร้อมปืนกลและปืนใหญ่ขนาดเท่าจริง!

ในวิดีโอล่าสุดที่เผยแพร่บน Bilibili Blyat ขับรถถังจำลองออกจากโรงรถ พร้อมยิงปืนใหญ่ใส่ศัตรูในเกมแบบซิงก์กันเป๊ะ ๆ ทั้งภาพ เสียง และแรงสั่นสะเทือน แถมยังมีฉากฮา ๆ อย่างกางเกงหลุดเพราะแรงถีบของปืนกล และโดนปืนใหญ่ฟาดหัวกลางฉากแบบไม่ตั้งใจ

นอกจากรถถังแล้ว Blyat ยังเคยสร้างเครื่องจำลองเครื่องบินรบ เครื่องจักรกล Mech และแม้แต่ “เครื่องจำลองขี่ลา” มาแล้ว! ถือเป็นตัวอย่างของการนำเทคโนโลยี DIY และความคลั่งไคล้เกมมาผสานกันอย่างสร้างสรรค์

เพิ่มเติมจากวงการซิมูเลเตอร์:
เทรนด์การสร้าง “Cockpit Simulator” กำลังมาแรงในหมู่เกมเมอร์สายฮาร์ดคอร์ เช่น การซื้อห้องนักบิน Boeing 747 มาใช้เล่น Flight Simulator
อุปกรณ์เสริมอย่าง HydroHaptic ที่ให้สัมผัสบีบ-ดึง-บิด กำลังพัฒนาเพื่อเพิ่มความสมจริงให้กับเกมแนวจำลอง

โปรเจกต์ Tank Simulator 5 โดย Blyat
สร้างรถถังจำลองเต็มคัน พร้อมปืนกลและปืนใหญ่ขนาดจริง
ใช้ร่วมกับเกม World of Tanks เพื่อเพิ่มความสมจริง
มีฉากตลก เช่น กางเกงหลุดจากแรงถีบ และโดนปืนใหญ่ฟาดหัว

ความคลั่งไคล้ของ Blyat
เคยสร้างเครื่องจำลองเครื่องบินรบ, Mech VTOL และขี่ลา
เผยแพร่ผลงานผ่านช่อง Bilibili

เทรนด์ซิมูเลเตอร์ในวงการเกม
มีผู้เล่นซื้อ Cockpit เครื่องบินจริงมาใช้เล่นเกม
เทคโนโลยีสัมผัสใหม่อย่าง HydroHaptic กำลังพัฒนา

คำเตือนด้านความปลอดภัย
การสร้างอุปกรณ์จำลองขนาดใหญ่มีความเสี่ยงต่อการบาดเจ็บ
ควรมีพื้นที่ปลอดภัยและอุปกรณ์ป้องกันเมื่อใช้งาน
ไม่ควรใช้ปืนจำลองในพื้นที่สาธารณะหรือใกล้ผู้คน

https://www.tomshardware.com/peripherals/controllers-gamepads/full-size-tank-simulator-setup-now-even-crazier-after-being-built-into-a-tactical-vehicle-with-full-size-replica-machine-gun-and-cannon

“เปิดสมอง” การใช้ Claude Code แบบเต็มระบบ โดย Shrivu Shankar
Shrivu Shankar นักพัฒนาและผู้เชี่ยวชาญด้าน AI ได้แชร์วิธีการใช้ Claude Code อย่างละเอียดในบทความบน Substack โดยเขาใช้เครื่องมือนี้ทั้งในโปรเจกต์ส่วนตัวและงานระดับองค์กรที่มีการใช้หลายพันล้านโทเคนต่อเดือน! จุดเด่นของบทความคือการเจาะลึกทุกฟีเจอร์ของ Claude Code ตั้งแต่ไฟล์พื้นฐานอย่าง CLAUDE.md ไปจนถึงการใช้ SDK และ GitHub Actions เพื่อสร้างระบบอัตโนมัติที่ทรงพลัง

เขาเน้นว่าเป้าหมายของการใช้ AI Agent ไม่ใช่แค่ให้มัน “ตอบดี” แต่ต้องสามารถ “ทำงานแทน” ได้จริง โดยมีการวางโครงสร้างที่ชัดเจน เช่น การใช้ planning mode เพื่อกำหนดแผนก่อนเริ่มงาน, การใช้ hooks เพื่อควบคุมคุณภาพโค้ด และการใช้ skills เพื่อให้ agent เข้าถึงเครื่องมือได้อย่างปลอดภัย

บทความนี้ไม่ใช่แค่คู่มือการใช้ Claude Code แต่เป็นแนวคิดใหม่ในการออกแบบระบบ AI Agent ที่ยืดหยุ่นและทรงพลัง เหมาะสำหรับนักพัฒนาที่ต้องการสร้างระบบอัตโนมัติที่ “คิดเองได้” มากกว่าแค่ “ตอบคำถาม”

CLAUDE.md คือหัวใจของระบบ
ใช้เป็น “รัฐธรรมนูญ” ของ agent เพื่อเข้าใจโครงสร้างโปรเจกต์

ใช้ planning mode ก่อนเริ่มงานใหญ่
ช่วยให้ Claude วางแผนและตรวจสอบได้ตรงจุด

Slash commands ใช้แบบเรียบง่าย
เช่น /catchup เพื่อให้ Claude อ่านไฟล์ที่เปลี่ยนใน git

Subagents ไม่จำเป็นเสมอไป
แนะนำให้ใช้ Task(...) เพื่อให้ agent จัดการงานเองแบบ dynamic

Resume และ History มีประโยชน์มาก
ใช้สรุปบทเรียนจาก session เก่าเพื่อปรับปรุง CLAUDE.md

Hooks ควบคุมคุณภาพโค้ดได้ดี
เช่น block commit ถ้าทดสอบไม่ผ่าน

Skills คืออนาคตของ agent
เป็นการ formalize การใช้ CLI/script ให้ agent ใช้งานได้ปลอดภัย

Claude Code SDK เหมาะกับการสร้าง agent prototype
ใช้สร้างเครื่องมือภายในหรือรันงานแบบ parallel ได้ง่าย

GitHub Action (GHA) คือเครื่องมือที่ทรงพลัง
ใช้ Claude สร้าง PR อัตโนมัติจาก Slack, Jira หรือ CloudWatch

settings.json ปรับแต่งการทำงานได้ลึก
เช่น proxy, timeout, API key และ permission audit

การใช้ subagent อาจทำให้ context หายไป
Agent อาจไม่เข้าใจภาพรวมของงานถ้าข้อมูลถูกแยกไว้ใน subagent

Slash commands ที่ซับซ้อนเกินไปเป็น anti-pattern
ทำให้ผู้ใช้ต้องเรียนรู้คำสั่งพิเศษแทนที่จะใช้ภาษาธรรมชาติ

Blocking agent ระหว่างเขียนโค้ดอาจทำให้สับสน
ควรใช้ block-at-submit แทน block-at-write เพื่อให้ agent ทำงานจบก่อนตรวจสอบ



https://blog.sshh.io/p/how-i-use-every-claude-code-feature

ปฏิบัติการ SkyCloak: แฮกเกอร์ใช้ LNK และ OpenSSH ผ่าน Tor เจาะระบบทหารรัสเซีย-เบลารุส

เรื่องราวนี้เผยให้เห็นการโจมตีไซเบอร์ระดับสูงที่ใช้เทคนิคซับซ้อนเพื่อแฝงตัวในระบบของกองทัพรัสเซียและเบลารุส โดยกลุ่มแฮกเกอร์ไม่เปิดเผยชื่อได้ใช้ไฟล์ LNK ที่ดูเหมือนไม่มีพิษภัยเป็นตัวเปิดทาง ก่อนจะติดตั้ง OpenSSH ผ่านเครือข่าย Tor เพื่อสร้างช่องทางเข้าถึงระบบแบบลับสุดยอด

จุดเด่นของการโจมตีคือการใช้ obfs4 bridges ซึ่งเป็นเทคนิคการพรางตัวแบบพิเศษในเครือข่าย Tor ทำให้การเชื่อมต่อไม่สามารถตรวจจับได้ง่าย และสามารถหลบเลี่ยงระบบตรวจสอบขององค์กรเป้าหมายได้อย่างแนบเนียน

นอกจากนี้ยังมีการใช้ PowerShell script ที่ฝังอยู่ในไฟล์ LNK เพื่อเรียกใช้งาน OpenSSH client ที่ถูกปรับแต่งให้เชื่อมต่อกับเซิร์ฟเวอร์ควบคุมผ่าน Tor โดยไม่ทิ้งร่องรอยไว้ในระบบปกติ

สาระเพิ่มเติมจากวงการไซเบอร์ เทคนิคการใช้ไฟล์ LNK เป็นหนึ่งในวิธีที่นิยมในกลุ่มแฮกเกอร์ระดับสูง เพราะสามารถหลอกให้ผู้ใช้เปิดไฟล์ได้โดยไม่สงสัย และสามารถฝังคำสั่ง PowerShell หรือ VBScript ได้อย่างแนบเนียน

การใช้ OpenSSH บนเครือข่าย Tor ยังช่วยให้แฮกเกอร์สามารถควบคุมเครื่องเป้าหมายจากระยะไกลโดยไม่ถูกติดตาม ซึ่งเป็นภัยคุกคามต่อระบบที่ต้องการความมั่นคงสูง เช่น กองทัพ หน่วยงานรัฐบาล หรือองค์กรวิจัย

ปฏิบัติการ SkyCloak เจาะระบบทหารรัสเซียและเบลารุส
ใช้ไฟล์ LNK เป็นตัวเปิดทางในการติดตั้ง backdoor
ฝัง PowerShell script เพื่อเรียกใช้งาน OpenSSH client
เชื่อมต่อผ่าน Tor ด้วย obfs4 bridges เพื่อหลบเลี่ยงการตรวจจับ

เทคนิคการพรางตัวของแฮกเกอร์
ใช้ obfs4 bridges เพื่อปิดบังการเชื่อมต่อ
ใช้ OpenSSH client ที่ปรับแต่งให้ทำงานแบบลับ
ไม่ทิ้งร่องรอยในระบบปกติของเครื่องเป้าหมาย

ความเสี่ยงต่อองค์กรที่ใช้ Windows
ไฟล์ LNK สามารถฝังคำสั่งอันตรายได้โดยไม่ต้องติดตั้งโปรแกรม
PowerShell เป็นเครื่องมือที่ทรงพลังแต่เสี่ยงต่อการถูกใช้ในทางที่ผิด
การเชื่อมต่อผ่าน Tor ทำให้การติดตามแหล่งที่มาของการโจมตีทำได้ยาก

https://securityonline.info/operation-skycloak-targets-russian-belarusian-military-with-lnk-exploit-and-openssh-over-tor-backdoor/

“SMILODON” แฝงร้ายในรูปภาพ: มัลแวร์สุดแนบเนียนโจมตีร้านค้า WooCommerce

ลองนึกภาพว่าคุณกำลังดูแลร้านค้าออนไลน์บน WordPress ที่ใช้ WooCommerce อยู่ดีๆ แล้วมีปลั๊กอินใหม่ที่ดูเหมือนจะช่วยเรื่อง SEO หรือระบบล็อกอิน แต่จริงๆ แล้วมันคือมัลแวร์ที่ซ่อนตัวอยู่ในไฟล์ภาพ PNG ปลอม! เรื่องนี้ไม่ใช่แค่จินตนาการ เพราะทีม Wordfence ได้เปิดโปงแคมเปญมัลแวร์ขั้นสูงที่ใช้ชื่อว่า “SMILODON” ซึ่งเป็นผลงานของกลุ่ม Magecart Group 12 ที่ขึ้นชื่อเรื่องการขโมยข้อมูลบัตรเครดิตจากเว็บไซต์อีคอมเมิร์ซ

มัลแวร์นี้แฝงตัวมาในรูปแบบปลั๊กอินปลอมที่มีชื่อคล้ายของจริง เช่น “jwt-log-pro” หรือ “share-seo-assistant” โดยภายในประกอบด้วยไฟล์ PHP และ PNG ปลอมที่ถูกเข้ารหัสและอำพรางอย่างแนบเนียน มันสามารถหลบซ่อนจากรายการปลั๊กอินใน WordPress ได้อย่างเงียบเชียบ และยังสามารถติดตามผู้ใช้ระดับแอดมินผ่านคุกกี้พิเศษเพื่อหลบเลี่ยงการตรวจจับ

ที่น่ากลัวคือ มัลแวร์นี้สามารถดักจับข้อมูลล็อกอินและข้อมูลบัตรเครดิตของลูกค้าได้ โดยใช้ JavaScript ที่ถูกฝังไว้ในหน้าชำระเงินของ WooCommerce ซึ่งจะทำงานหลังจากโหลดหน้าไปแล้ว 3 วินาที เพื่อไม่ให้รบกวนระบบ AJAX ของเว็บไซต์ และยังมีระบบตรวจสอบปลอมเพื่อหลอกให้ผู้ใช้รู้สึกว่าการชำระเงินปลอดภัย

ข้อมูลที่ถูกขโมยจะถูกส่งไปยังเซิร์ฟเวอร์ควบคุมของแฮกเกอร์ และในบางกรณีจะถูกส่งผ่านอีเมลไปยังบัญชีที่เชื่อมโยงกับผู้ให้บริการอีเมลในรัสเซีย

นอกจากนั้น ยังมีการใช้เทคนิค steganography คือการซ่อนโค้ดไว้ในไฟล์ภาพ ซึ่งเป็นวิธีที่นิยมในหมู่แฮกเกอร์ยุคใหม่ เพราะสามารถหลบเลี่ยงระบบตรวจจับมัลแวร์ได้อย่างมีประสิทธิภาพ

การโจมตีผ่านปลั๊กอินปลอมใน WordPress
ปลั๊กอินปลอมมีชื่อคล้ายของจริง เช่น “jwt-log-pro”
ประกอบด้วยไฟล์ PHP และ PNG ปลอมที่ถูกเข้ารหัส
ซ่อนตัวจากรายการปลั๊กอินใน WordPress ได้อย่างแนบเนียน

การดักจับข้อมูลผู้ใช้และข้อมูลบัตรเครดิต
ใช้คุกกี้พิเศษติดตามผู้ใช้ระดับแอดมิน
ดักจับข้อมูลล็อกอินผ่านกระบวนการสองขั้น
ฝัง JavaScript ในหน้าชำระเงินของ WooCommerce
ส่งข้อมูลไปยังเซิร์ฟเวอร์ควบคุมของแฮกเกอร์

เทคนิคการซ่อนโค้ดในไฟล์ภาพ (Steganography)
ใช้ไฟล์ PNG ปลอมที่มีโค้ดเข้ารหัสแบบ base64
มีระบบ payload หลายชั้นเพื่อความต่อเนื่องในการโจมตี

การเชื่อมโยงกับกลุ่ม Magecart Group 12
พบโครงสร้างโค้ดและเซิร์ฟเวอร์ที่เชื่อมโยงกับกลุ่มนี้
เป็นกลุ่มที่มีประวัติการโจมตีเว็บไซต์อีคอมเมิร์ซอย่างต่อเนื่อง

https://securityonline.info/magecart-smilodon-skimmer-infiltrates-woocommerce-via-rogue-plugin-hiding-payload-in-fake-png-image/

สงครามข้อมูลในบ้าน: วิศวกรแฮกเครื่องดูดฝุ่นอัจฉริยะ หลังถูกบริษัทสั่ง “ฆ่าระยะไกล” เพราะไม่ยอมส่งข้อมูล

เรื่องนี้เริ่มจากความสงสัยของวิศวกรรายหนึ่งที่พบว่าเครื่องดูดฝุ่น iLife A11 ของเขาส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของบริษัทโดยไม่ได้รับความยินยอม เมื่อเขาบล็อกการส่งข้อมูลเหล่านั้น เครื่องกลับ “ตายสนิท” และไม่สามารถเปิดใช้งานได้อีกเลย แม้จะส่งซ่อมหลายครั้งก็ยังกลับมาเสียเหมือนเดิม จนเขาต้องลงมือแฮกเองเพื่อปลุกมันให้กลับมาทำงานอีกครั้ง

Harishankar วิศวกรผู้ใช้ iLife A11 สังเกตว่าเครื่องดูดฝุ่นของเขาส่งข้อมูลอย่างต่อเนื่องไปยังเซิร์ฟเวอร์ของบริษัท เขาจึงบล็อก IP ของเซิร์ฟเวอร์ telemetry แต่ยังเปิดให้เครื่องอัปเดตเฟิร์มแวร์ได้ตามปกติ

ไม่นานหลังจากนั้น เครื่องกลับไม่สามารถเปิดใช้งานได้อีกเลย แม้จะส่งไปยังศูนย์บริการหลายครั้ง ช่างก็เปิดเครื่องได้ตามปกติ แต่เมื่อกลับมาใช้งานที่บ้าน เครื่องก็ “ตาย” อีกครั้ง

Harishankar จึงตัดสินใจแฮกเครื่องเอง โดยพบว่า A11 ใช้ชิป AllWinner A33 และระบบปฏิบัติการ TinaLinux พร้อมไมโครคอนโทรลเลอร์ GD32F103 เขาเขียนสคริปต์ Python เพื่อควบคุมเซ็นเซอร์ต่างๆ และสร้างจอยสติ๊ก Raspberry Pi เพื่อบังคับเครื่องด้วยมือ

เมื่อเจาะลึกไปยังระบบ เขาพบว่าเครื่องมีช่องโหว่ด้านความปลอดภัย เช่น Android Debug Bridge ที่ไม่มีการตั้งรหัสผ่าน และยังใช้ Google Cartographer เพื่อสร้างแผนที่บ้านแบบ 3D แล้วส่งข้อมูลทั้งหมดกลับไปยังเซิร์ฟเวอร์ของบริษัท

ที่น่าตกใจคือ เขาพบคำสั่ง “kill” ที่ตรงกับเวลาที่เครื่องหยุดทำงานพอดี ซึ่งแสดงให้เห็นว่าเครื่องถูก “ฆ่าระยะไกล” เพราะไม่สามารถส่งข้อมูลได้ตามที่บริษัทต้องการ

วิศวกรพบว่าเครื่องดูดฝุ่นส่งข้อมูลกลับบริษัทโดยไม่ได้รับอนุญาต
ข้อมูลรวมถึงแผนที่บ้านแบบ 3D จาก Google Cartographer
ใช้ Android Debug Bridge ที่ไม่มีรหัสผ่าน

เมื่อบล็อกเซิร์ฟเวอร์ telemetry เครื่องกลับไม่สามารถเปิดใช้งานได้
ส่งซ่อมหลายครั้งแต่กลับมาเสียอีก
พบคำสั่ง “kill” ในระบบที่ตรงกับเวลาที่เครื่องหยุดทำงาน

วิศวกรแฮกเครื่องด้วยฮาร์ดแวร์และสคริปต์ Python
ใช้ Raspberry Pi ควบคุมเซ็นเซอร์
ยืนยันว่าไม่มีปัญหาด้านฮาร์ดแวร์

เครื่องกลับมาทำงานได้เมื่อรีเซ็ตเฟิร์มแวร์และไม่บล็อกเซิร์ฟเวอร์
แสดงว่า kill command ถูกส่งจากบริษัท
เป็นการลงโทษหรือบังคับให้ส่งข้อมูล

อุปกรณ์ IoT อาจถูกควบคุมจากระยะไกลโดยผู้ผลิต
หากบล็อกการส่งข้อมูล อุปกรณ์อาจถูก “ฆ่า”
ผู้ใช้ไม่มีสิทธิ์ควบคุมข้อมูลของตัวเอง

ความปลอดภัยของอุปกรณ์อัจฉริยะยังมีช่องโหว่
ไม่มีการเข้ารหัสหรือรหัสผ่านในระบบสำคัญ
ข้อมูลส่วนตัวอาจถูกส่งออกโดยไม่รู้ตัว

https://www.tomshardware.com/tech-industry/big-tech/manufacturer-issues-remote-kill-command-to-nuke-smart-vacuum-after-engineer-blocks-it-from-collecting-data-user-revives-it-with-custom-hardware-and-python-scripts-to-run-offline

NPM ถูกถล่มด้วยแพ็กเกจอันตรายกว่า 126 รายการ ดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง!

บริษัทความปลอดภัย Koi เปิดเผยแคมเปญโจมตีชื่อ “PhantomRaven” ที่ใช้ช่องโหว่ในระบบ Remote Dynamic Dependencies (RDD) ของ NPM เพื่อแฝงมัลแวร์ในแพ็กเกจ JavaScript โดยไม่สามารถตรวจจับได้ด้วยเครื่องมือวิเคราะห์ทั่วไป

NPM เป็นระบบจัดการแพ็กเกจสำหรับ JavaScript ที่นักพัฒนาทั่วโลกใช้กันอย่างแพร่หลาย โดยปกติแล้ว dependency จะถูกดึงจากแหล่งที่เชื่อถือได้ของ NPM แต่ฟีเจอร์ RDD เปิดให้แพ็กเกจสามารถดึง dependency จากเว็บไซต์ภายนอกได้ แม้จะเป็น HTTP ที่ไม่เข้ารหัส

แฮกเกอร์ใช้ช่องทางนี้อัปโหลดแพ็กเกจ 126 รายการที่มีโค้ดแอบโหลดมัลแวร์จากเซิร์ฟเวอร์ภายนอก โดยแพ็กเกจเหล่านี้แสดงว่า “ไม่มี dependency” ทำให้เครื่องมือวิเคราะห์ไม่สามารถตรวจจับได้

มัลแวร์ที่ถูกโหลดจะสแกนเครื่องของเหยื่อเพื่อขโมยข้อมูล เช่น:
ตัวแปร environment ที่ใช้ตั้งค่าระบบ
Credential ของ GitHub, Jenkins และ NPM
ข้อมูลจากระบบ CI/CD ที่ใช้ deploy โค้ด
ส่งข้อมูลออกผ่าน HTTP, JSON และ WebSocket แบบซ้ำซ้อน

ที่น่าตกใจคือบาง dependency ใช้ชื่อที่ “AI chatbot มัก hallucinate” หรือแนะนำผิด ๆ ทำให้แฮกเกอร์สามารถหลอกนักพัฒนาให้ติดตั้งแพ็กเกจปลอมได้ง่ายขึ้น

รายละเอียดแคมเปญ PhantomRaven
ใช้ Remote Dynamic Dependencies (RDD) เพื่อโหลดมัลแวร์จากเว็บภายนอก
อัปโหลดแพ็กเกจ 126 รายการลง NPM
ดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง
แสดงว่าไม่มี dependency เพื่อหลบการตรวจจับ

วิธีการโจมตี
โหลดมัลแวร์ “สด” ทุกครั้งที่ติดตั้งแพ็กเกจ
ตรวจสอบ IP ของผู้ติดตั้งเพื่อเลือก payload ที่เหมาะสม
ส่งโค้ดสะอาดให้ security researcher แต่ส่งโค้ดอันตรายให้บริษัท

ข้อมูลที่ถูกขโมย
Environment variables และ config ภายใน
Credential ของแพลตฟอร์มพัฒนา
ข้อมูลจากระบบ CI/CD
ส่งออกผ่านหลายช่องทางเพื่อความแน่นอน

จุดอ่อนของระบบ NPM
RDD ไม่สามารถตรวจสอบด้วย static analysis
ไม่มีการ cache หรือ versioning ทำให้โหลดโค้ดใหม่ทุกครั้ง
แพ็กเกจปลอมใช้ชื่อที่ AI มักแนะนำผิด

ความเสี่ยงจากการใช้แพ็กเกจโดยไม่ตรวจสอบ
อาจติดตั้งมัลแวร์โดยไม่รู้ตัว
ข้อมูล credential และระบบ deploy อาจถูกขโมย
การใช้ชื่อแพ็กเกจจาก AI chatbot อาจนำไปสู่การติดตั้งแพ็กเกจปลอม

วิธีป้องกันเบื้องต้น
ตรวจสอบแพ็กเกจก่อนติดตั้ง โดยดู source และ dependency
หลีกเลี่ยงการใช้แพ็กเกจที่โหลด dependency จากเว็บภายนอก
ใช้ระบบ sandbox หรือ container เมื่อติดตั้งแพ็กเกจใหม่
ติดตามรายชื่อแพ็กเกจอันตรายจากรายงานของ Koi และชุมชน

นี่คืออีกหนึ่งตัวอย่างของ “supply chain attack” ที่แฝงตัวในเครื่องมือที่นักพัฒนาใช้ทุกวัน และเตือนว่าแม้ระบบจะยืดหยุ่นแค่ไหน ก็ต้องมีการตรวจสอบและป้องกันอย่างรัดกุมเสมอ.

https://arstechnica.com/security/2025/10/npm-flooded-with-malicious-packages-downloaded-more-than-86000-times/

สร้างกราฟ compiler เองดีกว่าใช้ Graphviz — เมื่อ SpiderMonkey ปรับโฉมการวิเคราะห์โค้ดด้วย iongraph แบบ interactive

SpiderMonkey ทีมพัฒนา JavaScript/WebAssembly engine ของ Firefox ได้เปิดตัวระบบ visualization ใหม่สำหรับ compiler ที่ชื่อว่า iongraph ซึ่งช่วยให้สามารถดูกราฟการ optimize โค้ดได้แบบ interactive โดยไม่ต้องพึ่ง Graphviz หรือ Mermaid อีกต่อไป

เล่าให้ฟังแบบเข้าใจง่าย เมื่อคุณเขียนโค้ด JavaScript แล้วมันถูกส่งเข้าไปใน compiler ขั้นสูงของ SpiderMonkey ที่ชื่อว่า Ion — ระบบจะสร้างกราฟ SSA (Static Single Assignment) เพื่อวิเคราะห์และ optimize โค้ดให้เร็วขึ้น แต่การดูกราฟเหล่านี้ผ่าน Graphviz กลับยุ่งยากและไม่ตรงกับโครงสร้างโค้ดจริง

ทีมงานจึงสร้างระบบ layout algorithm ใหม่ที่เรียบง่ายแต่ทรงพลัง โดยใช้ความรู้เฉพาะของ control flow ใน JavaScript และ WebAssembly เช่น:
Loop มี entry เดียว
ไม่มีการ jump เข้าไปกลาง loop
โครงสร้าง reducible control flow

ผลลัพธ์คือกราฟที่อ่านง่าย เสถียร และสามารถแสดงผลแบบ interactive ได้บนเว็บ — คุณสามารถลาก ซูม และดูการเปลี่ยนแปลงของกราฟในแต่ละ pass ได้ทันที

ปัญหาของ Graphviz
layout ไม่ตรงกับโครงสร้างโค้ด
node กระโดดไปมาเมื่อ input เปลี่ยนเล็กน้อย
PDF แบบ static ทำให้ debug ยาก

จุดเด่นของ iongraph
interactive บนเว็บ: ลาก ซูม เลือก instruction ได้
layout เสถียรแม้กราฟเปลี่ยน
ใช้ algorithm ที่เข้าใจโครงสร้าง loop และ control flow

ขั้นตอนของ layout algorithm
Layering: จัด block เป็นชั้นตามลำดับ control flow
Dummy nodes: สร้าง node สำหรับ edge ที่ข้ามชั้น
Straighten edges: ปรับตำแหน่งให้กราฟดูเรียบร้อย
Track horizontal edges: จัด edge ให้ไม่ทับกัน
Verticalize: กำหนดตำแหน่ง Y ให้ node
Render: ใช้เส้นตรงแบบ railroad diagram แทน Bézier curve

ประสิทธิภาพ
เร็วกว่าการใช้ Graphviz หลายพันเท่า
Layout กราฟขนาดใหญ่ได้ในเวลาไม่กี่มิลลิวินาที

https://spidermonkey.dev/blog/2025/10/28/iongraph-web.html

PhantomRaven: มัลแวร์ npm สุดแสบที่ขโมยข้อมูลนักพัฒนาแบบแนบเนียน

แคมเปญมัลแวร์ PhantomRaven แอบแฝงใน npm ด้วยแพ็กเกจปลอมกว่า 126 รายการ ใช้เทคนิคลับ Remote Dynamic Dependency เพื่อขโมยโทเคนและข้อมูลลับของนักพัฒนาโดยไม่ถูกตรวจจับ

ตั้งแต่เดือนสิงหาคม 2025 แคมเปญมัลแวร์ชื่อ PhantomRaven ได้แอบปล่อยแพ็กเกจ npm ปลอมกว่า 126 รายการ ซึ่งถูกดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง จุดประสงค์หลักคือขโมยข้อมูลลับของนักพัฒนา เช่น GitHub credentials, CI/CD tokens และ npm authentication tokens

สิ่งที่ทำให้ PhantomRaven อันตรายคือการใช้ฟีเจอร์ Remote Dynamic Dependency (RDD) ซึ่งอนุญาตให้แพ็กเกจ npm ดึง dependencies จาก URL ภายนอก แทนที่จะใช้ registry ปกติ ทำให้เครื่องมือสแกนความปลอดภัยมองว่าแพ็กเกจเหล่านี้ “ไม่มี dependencies” และปลอดภัย ทั้งที่จริงแล้วโค้ดอันตรายจะถูกดึงมาและรันทันทีเมื่อผู้ใช้ติดตั้ง

แพ็กเกจปลอมเหล่านี้มักมีชื่อคล้ายของจริง เช่น eslint-comments (จริงคือ eslint-plugin-eslint-comments) หรือ unused-imports (จริงคือ eslint-plugin-unused-imports) ซึ่งถูกออกแบบมาให้ AI แนะนำโดยผิดพลาดเมื่อผู้ใช้ถามหาแพ็กเกจในแชตบอตหรือ Copilot

เมื่อโค้ดรัน มัลแวร์จะเริ่มเก็บข้อมูลจากไฟล์ .gitconfig, .npmrc, package.json รวมถึงสแกนหาโทเคนจาก GitHub Actions, GitLab, Jenkins และ CircleCI จากนั้นจะส่งข้อมูลออกผ่าน HTTP GET, POST และ WebSocket เพื่อให้แน่ใจว่าข้อมูลจะหลุดออกไปแม้ในเครือข่ายที่มีไฟร์วอลล์

PhantomRaven คือแคมเปญมัลแวร์ใน npm
ปล่อยแพ็กเกจปลอมกว่า 126 รายการ
ถูกดาวน์โหลดไปแล้วกว่า 86,000 ครั้ง
เริ่มต้นในเดือนสิงหาคม 2025 และยังมีแพ็กเกจที่ยังไม่ถูกลบ

เทคนิค Remote Dynamic Dependency (RDD)
ดึงโค้ดจาก URL ภายนอกแทน registry
ทำให้เครื่องมือสแกนมองว่าไม่มี dependencies
โค้ดอันตรายจะรันทันทีเมื่อติดตั้งผ่าน preinstall script

ข้อมูลที่มัลแวร์พยายามขโมย
อีเมลและข้อมูลจากไฟล์ config
โทเคนจาก GitHub, GitLab, Jenkins, CircleCI
ข้อมูลระบบ เช่น IP, hostname, OS, username

ช่องทางการส่งข้อมูลออก
HTTP GET (ฝังข้อมูลใน URL)
HTTP POST (ส่ง JSON payload)
WebSocket (ใช้ในเครือข่ายที่มีข้อจำกัด)

ความเสี่ยงจากแพ็กเกจปลอม
ชื่อคล้ายของจริง ทำให้ AI แนะนำผิด
ผู้ใช้ติดตั้งโดยไม่รู้ว่าเป็นมัลแวร์
โค้ดดูเหมือน harmless เช่น console.log('Hello, world!') แต่แฝง payload จริงไว้ภายนอก

ความเสี่ยงต่อระบบ CI/CD และข้อมูลลับ
โทเคนและ credentials ถูกขโมยโดยไม่รู้ตัว
ส่งผลกระทบต่อระบบอัตโนมัติและการ deploy
อาจถูกใช้เพื่อเจาะระบบองค์กรหรือ cloud infrastructure

เกร็ดน่ารู้เพิ่มเติม
Remote Dynamic Dependency เป็นฟีเจอร์ที่แทบไม่มีใครใช้ เพราะเสี่ยงต่อความปลอดภัยสูง
Slopsquatting คือเทคนิคใหม่ที่ใช้ AI สร้างชื่อแพ็กเกจปลอมที่ “ดูเหมือนจริง” เพื่อหลอกให้ผู้ใช้ติดตั้ง
นักพัฒนาควรใช้เครื่องมือเช่น npm audit, Snyk, หรือ Socket.dev เพื่อตรวจสอบความปลอดภัยของแพ็กเกจ

https://securityonline.info/phantomraven-126-malicious-npm-packages-steal-developer-tokens-and-secrets-using-hidden-dependencies/

Superhuman: จากผู้ช่วยเขียนสู่แพลตฟอร์ม AI ครบวงจร
Grammarly ก่อตั้งในปี 2009 และเป็นที่รู้จักในฐานะผู้ช่วยเขียนที่ใช้ AI อย่างแพร่หลาย ล่าสุดบริษัทได้ประกาศเปลี่ยนชื่อเป็น “Superhuman” หลังจากเข้าซื้อกิจการของ Superhuman Mail และ Coda ในปี 2025 โดยเลือกใช้ชื่อของบริษัทที่ถูกซื้อมาแทนชื่อเดิม ซึ่งถือเป็นกลยุทธ์ที่ไม่ธรรมดาในวงการเทคโนโลยี

ภายใต้ชื่อใหม่ Superhuman จะรวม:
Grammarly (ผู้ช่วยเขียน)
Superhuman Mail (แพลตฟอร์มอีเมลระดับพรีเมียม)
Coda (ผู้ช่วยงานที่ใช้ AI)

ทั้งหมดจะอยู่ภายใต้ระบบ subscription เดียว พร้อมเปิดตัวผู้ช่วย AI ใหม่ชื่อว่า Superhuman Go ที่จะทำงานแบบเบื้องหลังโดยไม่ต้องรอคำสั่งจากผู้ใช้

Superhuman Go จะสามารถ:
เขียนและปรับแต่งอีเมลอัตโนมัติ
สรุปข้อมูลจากข้อความหรือเอกสาร
จัดการตารางงานและการประชุม
เชื่อมต่อกับ Google Workspace และ Microsoft Outlook

นอกจากนี้ยังมีฟีเจอร์ใหม่ที่กำลังจะเปิดตัว เช่น:
แปลงบันทึกการประชุมเป็นร่างเอกสาร
จัดระเบียบกล่องอีเมลตามปฏิทินและ workflow ของผู้ใช้

แพ็กเกจ subscription มีให้เลือก 2 ระดับ:

Pro Plan ($12/เดือน): เขียนใหม่และแปลข้อความได้ไม่จำกัดใน 19 ภาษา
Business Plan ($33/เดือน): รวมทุกฟีเจอร์ของ Pro พร้อมใช้งาน Superhuman Mail เต็มรูปแบบ

https://securityonline.info/grammarly-is-now-superhuman-unifying-mail-and-ai-in-new-productivity-suite/

VSCode ถูกเจาะ! ปลั๊กอินอันตรายขโมยโค้ด-เปิด backdoor
HelixGuard Threat Intelligence ได้เปิดเผยการโจมตีแบบ supply chain ที่รุนแรงที่สุดครั้งหนึ่งในวงการ IDE โดยพบปลั๊กอินอันตรายกว่า 12 ตัวใน VSCode Marketplace และ OpenVSX ซึ่งบางตัวยังคงออนไลน์อยู่ในขณะค้นพบ

ปลั๊กอินเหล่านี้ไม่ได้แค่ขโมยโค้ด แต่ยังสามารถ:
ดึงข้อมูล credential
จับภาพหน้าจอ
เปิด remote shell
สร้าง reverse shell เพื่อควบคุมเครื่องของนักพัฒนา

ตัวอย่างปลั๊กอินอันตราย:
Christine-devops1234.scraper: ส่งข้อมูลโค้ดและภาพไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี
Kodease.fyp-23-s2-08: ใช้ Ngrok tunnel เพื่อส่งโค้ดที่เลือกไปยัง endpoint อันตราย
teste123444212.teste123444212: สร้าง reverse shell เชื่อมต่อกับ EC2 instance เพื่อรันคำสั่งจากระยะไกล
ToToRoManComp.diff-tool-vsc: ใช้ Bash และ Perl สร้าง shell session ไปยัง IP อันตราย
BX-Dev.Blackstone-DLP: ดึงข้อมูล clipboard และจับภาพหน้าจอส่งไปยัง CloudFront

ที่น่ากังวลคือปลั๊กอินบางตัวมีความสามารถในการตรวจจับการติดตั้งและหลบเลี่ยงการวิเคราะห์ เช่นการส่ง beacon ไปยัง webhook เพื่อยืนยันการติดตั้ง

HelixGuard เตือนว่า IDE ที่ถูกเจาะอาจกลายเป็นช่องทางเข้าสู่ระบบภายในองค์กร โดยเฉพาะใน DevOps pipeline และระบบที่ใช้ AI ช่วยเขียนโค้ด

พบปลั๊กอินอันตรายกว่า 12 ตัวใน VSCode Marketplace และ OpenVSX
บางตัวยังคงออนไลน์อยู่ในขณะค้นพบ
ปลั๊กอินสามารถขโมยโค้ด, credential, ภาพหน้าจอ และเปิด remote shell
ใช้เทคนิค reverse shell ผ่าน Bash, Perl และ JavaScript
มีการส่งข้อมูลไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี เช่น AWS EC2, Ngrok, CloudFront
บางปลั๊กอินมีระบบตรวจจับการติดตั้งและหลบเลี่ยงการวิเคราะห์
เป็นภัยคุกคามต่อ DevOps pipeline และระบบที่ใช้ AI coding

นักพัฒนาอาจถูกขโมยโค้ดและข้อมูลสำคัญโดยไม่รู้ตัว
IDE ที่ถูกเจาะสามารถเป็นช่องทางเข้าสู่ระบบภายในองค์กร
ปลั๊กอินอันตรายอาจแฝงตัวใน Marketplace อย่างแนบเนียน
การใช้ปลั๊กอินโดยไม่ตรวจสอบอาจเปิดช่องให้มัลแวร์ควบคุมเครื่อง

https://securityonline.info/vscode-supply-chain-compromise-12-malicious-extensions-steal-source-code-and-open-remote-shells/

LiteSpeed Cache XSS: เมื่อปลั๊กอินเร่งเว็บกลายเป็นช่องทางโจมตี
ลองจินตนาการว่าคุณใช้ปลั๊กอิน LiteSpeed Cache เพื่อเร่งความเร็วเว็บไซต์ WordPress ของคุณ แต่กลับกลายเป็นว่ามีช่องโหว่ที่เปิดทางให้แฮกเกอร์สามารถขโมยข้อมูลผู้ใช้หรือแม้แต่ยึดเว็บไซต์ของคุณได้!

ช่องโหว่นี้มีชื่อว่า CVE-2025-12450 เป็นประเภท Reflected Cross-Site Scripting (XSS) ซึ่งหมายความว่าแฮกเกอร์สามารถสร้างลิงก์พิเศษที่เมื่อเหยื่อคลิกเข้าไป จะทำให้สคริปต์อันตรายถูกส่งกลับจากเซิร์ฟเวอร์ของเว็บไซต์และรันในเบราว์เซอร์ของเหยื่อทันที โดยเบราว์เซอร์จะเข้าใจผิดว่าสคริปต์นั้นมาจากแหล่งที่เชื่อถือได้

ผลลัพธ์คือ:
แฮกเกอร์สามารถขโมย session cookies
เข้าถึงข้อมูลผู้ใช้
เปลี่ยนเส้นทางไปยังเว็บไซต์ฟิชชิ่ง
หรือแม้แต่สร้างบัญชีผู้ดูแลระบบใหม่โดยไม่ได้รับอนุญาต

ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยจาก Trustwave และมีผลกระทบต่อ ทุกเวอร์ชันของปลั๊กอิน LiteSpeed Cache จนถึงเวอร์ชัน 7.5.0.1 โดยเวอร์ชันที่ได้รับการแก้ไขคือ 7.6 ขึ้นไป

ช่องโหว่ CVE-2025-12450 ถูกค้นพบในปลั๊กอิน LiteSpeed Cache
เป็นช่องโหว่ประเภท Reflected XSS ที่สามารถโจมตีผ่านลิงก์พิเศษ
กระทบเว็บไซต์ WordPress กว่า 7 ล้านแห่งทั่วโลก
ผู้โจมตีสามารถขโมยข้อมูลหรือยึดเว็บไซต์ได้
เวอร์ชันที่ได้รับผลกระทบคือ 7.5.0.1 และก่อนหน้า
เวอร์ชันที่ปลอดภัยคือ 7.6 ขึ้นไป
ช่องโหว่นี้ถูกค้นพบโดย Trustwave และรายงานอย่างรับผิดชอบ

ผู้ดูแลเว็บไซต์ที่ยังไม่ได้อัปเดตปลั๊กอินมีความเสี่ยงสูง
อาจถูกขโมย session cookies และข้อมูลผู้ใช้
อาจถูก redirect ไปยังเว็บไซต์ฟิชชิ่ง
อาจถูกสร้างบัญชีผู้ดูแลระบบใหม่โดยไม่ได้รับอนุญาต
การโจมตีสามารถเกิดขึ้นได้ง่ายเพียงแค่คลิกลิงก์

https://securityonline.info/litespeed-cache-flaw-cve-2025-12450-7-million-wordpress-sites-exposed-to-xss-attack/

“สหรัฐ–ญี่ปุ่นจับมือสลายอิทธิพลจีนในตลาดแร่หายาก พร้อมเร่งพลังงานนิวเคลียร์รับยุค AI”

ในวันที่ 28 ตุลาคมที่ผ่านมา สหรัฐอเมริกาและญี่ปุ่นได้ลงนามในข้อตกลงความร่วมมือด้านแร่หายากและพลังงานนิวเคลียร์ ณ กรุงโตเกียว โดยมีเป้าหมายชัดเจนในการลดการพึ่งพาจีน ซึ่งครองตลาดการกลั่นและผลิตแม่เหล็กจากแร่หายากกว่า 85% ของโลก แม้จีนจะมีเพียงครึ่งหนึ่งของปริมาณแร่หายากดิบทั่วโลก แต่กลับควบคุมกระบวนการผลิตที่สำคัญเกือบทั้งหมด

ข้อตกลงนี้เกิดขึ้นก่อนการพบกันระหว่างประธานาธิบดีทรัมป์และประธานาธิบดีสี จิ้นผิง ซึ่งสะท้อนถึงการเคลื่อนไหวเชิงยุทธศาสตร์ของสหรัฐในการสร้างเส้นทางใหม่ด้านทรัพยากรและพลังงาน โดยเฉพาะแร่ neodymium และ praseodymium ที่จำเป็นต่อการผลิตแม่เหล็กถาวรในมอเตอร์ EV และฮาร์ดไดรฟ์

นอกจากแร่หายากแล้ว ข้อตกลงยังรวมถึงความร่วมมือในการสร้างโรงไฟฟ้านิวเคลียร์ขนาดเล็ก (SMR) โดยเฉพาะแบบ BWRX-300 ที่พัฒนาโดย GE Vernova และ Hitachi ซึ่งได้รับอนุมัติให้สร้างในอเมริกาเหนือแล้ว และกำลังเป็นที่สนใจของบริษัทเทคโนโลยีอย่าง Google, Amazon และ Microsoft ที่ต้องการพลังงานมหาศาลเพื่อรองรับการประมวลผล AI

ข้อมูลสำคัญจากข่าว
สหรัฐและญี่ปุ่นลงนามข้อตกลงด้านแร่หายากและพลังงานนิวเคลียร์
เป้าหมายคือลดการพึ่งพาจีนที่ครองตลาดการกลั่นแร่หายากกว่า 85%
เน้นแร่ neodymium และ praseodymium สำหรับแม่เหล็กถาวร
ข้อตกลงเกิดก่อนการประชุมระหว่างทรัมป์และสี จิ้นผิง

ความร่วมมือด้านพลังงานนิวเคลียร์
เน้นการสร้างโรงไฟฟ้านิวเคลียร์ขนาดเล็ก (SMR)
แบบ BWRX-300 ได้รับอนุมัติแล้วในอเมริกาเหนือ
บริษัทเทคโนโลยีใหญ่กำลังลงทุนในพลังงานนิวเคลียร์เพื่อรองรับ AI

ความเชื่อมโยงกับอุตสาหกรรมเทคโนโลยี
OpenAI, xAI และ TSMC Arizona ต้องการพลังงานเฉพาะสำหรับศูนย์ข้อมูล
พลังงานนิวเคลียร์กลายเป็น “ปัจจัยด้านฮาร์ดแวร์” สำหรับการสร้าง GPU และเซิร์ฟเวอร์ AI

https://www.tomshardware.com/tech-industry/us-and-japan-move-to-pry-rare-earths-from-chinas-grip

Google แนะนำแนวทาง “Functional Core, Imperative Shell” เพื่อเขียนโค้ดให้สะอาด ทดสอบง่าย และปรับขยายได้

บทความจาก Google Testing Blog เสนอแนวคิดการแยกโค้ดออกเป็นสองส่วน: Functional Core ที่เป็นฟังก์ชันบริสุทธิ์ (pure functions) และ Imperative Shell ที่จัดการ side effects เช่น I/O, database, หรือ network — เพื่อให้โค้ดมีความสามารถในการทดสอบและดูแลรักษาได้ดีขึ้น.

แนวคิดหลักจากบทความ

Functional Core คือส่วนที่ไม่มี side effects
ประกอบด้วยฟังก์ชันที่รับข้อมูลเข้าและคืนผลลัพธ์โดยไม่เปลี่ยนแปลงสถานะภายนอก
สามารถทดสอบได้ง่ายและนำกลับมาใช้ซ้ำได้

Imperative Shell คือส่วนที่จัดการกับโลกภายนอก
เช่น การส่งอีเมล, อ่านข้อมูลจาก database, หรือเขียนไฟล์
ใช้ผลลัพธ์จาก Functional Core เพื่อดำเนินการจริง

ตัวอย่างจากบทความ: การส่งอีเมลแจ้งเตือนผู้ใช้หมดอายุ
โค้ดเดิมผสม logic กับ side effects ทำให้ทดสอบยาก
โค้ดใหม่แยก logic ออกมาเป็นฟังก์ชัน getExpiredUsers() และ generateExpiryEmails()
Shell ใช้ฟังก์ชันเหล่านี้เพื่อส่งอีเมลจริงผ่าน email.bulkSend(...)

ข้อดีของแนวทางนี้
ทดสอบง่าย: ไม่ต้อง mock database หรือ network
ปรับขยายง่าย: เพิ่มฟีเจอร์ใหม่โดยเขียนฟังก์ชันใหม่ใน core
ดูแลรักษาง่าย

ตัวอย่างโค้ดเปรียบเทียบ

ก่อน (ผสม logic กับ side effects):

function sendUserExpiryEmail() {
for (const user of db.getUsers()) {
if (user.subscriptionEndDate > Date.now()) continue;
if (user.isFreeTrial) continue;
email.send(user.email, "Your account has expired " + user.name + ".");
}
}

หลัง (แยก core และ shell):

function getExpiredUsers(users, cutoff) {
return users.filter(user => user.subscriptionEndDate <= cutoff && !user.isFreeTrial);
}

function generateExpiryEmails(users) {
return users.map(user => [user.email, "Your account has expired " + user.name + "."]);
}

email.bulkSend(generateExpiryEmails(getExpiredUsers(db.getUsers(), Date.now())));

การใช้แนวทาง Functional Core, Imperative Shell ช่วยให้โค้ดมีโครงสร้างที่ชัดเจนและยืดหยุ่น — เหมาะสำหรับทีมที่ต้องการลดความซับซ้อนและเพิ่มคุณภาพในการทดสอบและดูแลระบบในระยะยาว

สาระเพิ่มเติมจากแนวทาง functional programming
แนวคิดนี้คล้ายกับ “Hexagonal Architecture” หรือ “Clean Architecture” ที่แยก domain logic ออกจาก infrastructure
ภาษา functional เช่น Haskell, F#, หรือ Elm ใช้แนวทางนี้เป็นหลัก
ใน JavaScript/TypeScript ก็สามารถนำไปใช้ได้ โดยใช้ pure functions ร่วมกับ async shell
ช่วยลดการใช้ mock ใน unit test เพราะ core ไม่ต้องพึ่ง database หรือ network

https://testing.googleblog.com/2025/10/simplify-your-code-functional-core.html

Tor Browser 15.0 เปิดตัวแล้ว! ปรับปรุง UI, เพิ่มความปลอดภัย และเป็นรุ่นสุดท้ายที่รองรับ Linux 32-bit

Tor Browser 15.0 ได้รับการปล่อยอย่างเป็นทางการโดยทีม Tor Project โดยใช้ฐานจาก Firefox 140 ESR พร้อมฟีเจอร์ใหม่ที่ช่วยให้การใช้งานปลอดภัยและเป็นส่วนตัวมากขึ้น ทั้งในเดสก์ท็อปและ Android — และยังเป็นเวอร์ชันสุดท้ายที่รองรับ Linux 32-bit และ Android รุ่นเก่า.

ใช้ Firefox 140 ESR เป็นฐานหลัก
ได้รับฟีเจอร์ใหม่จาก upstream เช่น vertical tabs, tab groups, unified search button

ปรับปรุง UI เพื่อการจัดการแท็บที่ดีขึ้น
แม้แท็บยังเป็นแบบ private แต่สามารถจัดกลุ่มและค้นหาได้ง่ายขึ้น
เหมาะสำหรับผู้ใช้ที่เปิดหลายแท็บพร้อมกัน เช่น นักวิจัยหรือผู้จัดการโปรเจกต์

เพิ่มฟีเจอร์ความปลอดภัยบน Android
มี screen lock เพื่อป้องกันการเข้าถึงเบราว์เซอร์
สามารถตั้งค่าให้ล้าง session เมื่อปิดแอป

ปรับการจัดการ WebAssembly (Wasm)
การบล็อก Wasm ถูกย้ายไปจัดการผ่าน NoScript เพื่อความยืดหยุ่น
ช่วยลดความเสี่ยงจากการรันโค้ดที่ไม่ปลอดภัย

รองรับ Linux 32-bit และ Android 5.0–7.0 เป็นครั้งสุดท้าย
Tor Browser 16.0 จะไม่รองรับระบบเหล่านี้อีก
ผู้ใช้ควรเตรียมอัปเกรดระบบหากต้องการใช้งานต่อในอนาคต

Tor Browser 16.0 จะไม่รองรับ Linux 32-bit และ Android ต่ำกว่า 8.0
หากยังใช้ระบบเหล่านี้ จะไม่สามารถอัปเดตได้อีก
เสี่ยงต่อการถูกโจมตีจากช่องโหว่ที่ไม่ได้รับการแก้ไข

การใช้ Wasm อาจเปิดช่องให้รันโค้ดอันตรายได้
ควรใช้ NoScript เพื่อควบคุมการทำงานของ Wasm และ JavaScript
ผู้ใช้ที่ต้องการความปลอดภัยสูงควรปิด Wasm โดยสมบูรณ์

https://9to5linux.com/tor-browser-15-0-anonymous-web-browser-is-out-based-on-firefox-140-esr-series

ช่องโหว่ CVE-2025-61481 ใน MikroTik เปิดทางขโมยรหัสผ่านผู้ดูแลผ่าน WebFig ที่ไม่เข้ารหัส — คะแนนร้ายแรงระดับ 10 เต็ม

ช่องโหว่ใหม่ใน MikroTik RouterOS และ SwitchOS เปิดเผยว่าหน้า WebFig ซึ่งใช้จัดการอุปกรณ์จะทำงานผ่าน HTTP แบบไม่เข้ารหัสโดยค่าเริ่มต้น ทำให้ผู้โจมตีสามารถดักจับรหัสผ่านผู้ดูแลระบบได้ง่าย ๆ หากอยู่ในเครือข่ายเดียวกัน โดยไม่ต้องยืนยันตัวตนก่อน

ข้อมูลสำคัญจากช่องโหว่ CVE-2025-61481
กระทบ MikroTik RouterOS v7.14.2 และ SwitchOS v2.18
WebFig เปิดใช้งานผ่าน HTTP โดยไม่มีการ redirect ไป HTTPS
หลัง factory reset หน้า login และ JavaScript ทั้งหมดโหลดผ่าน HTTP

ข้อมูลรับรองถูกส่งแบบ cleartext ผ่าน port 80
JavaScript ฝั่ง client เก็บรหัสผ่านไว้ใน window.sessionStorage
Packet capture ยืนยันว่า traffic และ credentials ถูกส่งแบบไม่เข้ารหัส

ผู้โจมตีสามารถดักจับและแก้ไขข้อมูลได้ทันที
แค่เชื่อมต่ออยู่ใน LAN หรือ Wi-Fi เดียวกันก็สามารถทำ MitM ได้
เมื่อได้รหัสผ่านแล้ว สามารถเปลี่ยน routing, firewall หรือฝังสคริปต์ RCE ได้

อุปกรณ์ที่ได้รับผลกระทบรวมถึงรุ่นยอดนิยม เช่น CRS326-24G-2S+
มีแนวโน้มว่าอุปกรณ์อื่นที่ใช้ WebFig component เดียวกันก็ได้รับผลกระทบเช่นกัน
พบมากใน SMB และ ISP ที่ใช้ WebFig สำหรับตั้งค่าภายใน

คำแนะนำจากนักวิจัย
จำกัดการเข้าถึง WebFig เฉพาะ VLAN หรือเครือข่ายที่เชื่อถือได้
เปิดใช้งาน HTTPS ด้วยตนเองในหน้า config
ใช้ SSH หรือ VPN แทน WebFig หากเป็นไปได้
ปิดการเข้าถึง HTTP หากไม่จำเป็น

https://securityonline.info/critical-mikrotik-flaw-cve-2025-61481-cvss-10-0-exposes-router-admin-credentials-over-unencrypted-http-webfig/

X เตรียมยกเลิกโดเมน Twitter.com วันที่ 10 พ.ย. — ผู้ใช้ที่ใช้ passkey ต้องรีเซ็ตใหม่เพื่อไม่ให้ล็อกบัญชี

แพลตฟอร์ม X (เดิมคือ Twitter) ประกาศว่าจะ เลิกใช้งานโดเมน Twitter.com อย่างถาวรในวันที่ 10 พฤศจิกายน 2025 ซึ่งส่งผลให้ผู้ใช้ที่ใช้ passkey หรือ security key สำหรับการยืนยันตัวตนแบบสองขั้นตอน (2FA) ต้องรีเซ็ตและผูกคีย์ใหม่กับโดเมน x.com มิฉะนั้นบัญชีจะถูกล็อก

ข้อมูลสำคัญจากประกาศของ X

Twitter.com จะหยุด redirect ไปยัง X.com หลังวันที่ 10 พ.ย.
ลิงก์เก่า เช่น tweet ที่เคยแชร์ไว้ จะไม่สามารถเข้าถึงได้หากยังใช้ twitter.com
ผู้ใช้ต้องอัปเดตลิงก์หรือบุ๊กมาร์กที่ใช้โดเมนเดิม

ผู้ใช้ passkey หรือ security key ต้องรีเซ็ตก่อนวันหมดอายุ
คีย์เดิมถูกผูกไว้กับโดเมน twitter.com ซึ่งจะไม่สามารถใช้ได้กับ x.com
ต้องเข้าไปที่ Settings → Security → Two-factor authentication → Add another key เพื่อผูกคีย์ใหม่กับ x.com

ผู้ใช้ที่ไม่รีเซ็ตจะถูกล็อกบัญชีชั่วคราว
ทางเลือกคือ: รีเซ็ต passkey, เปลี่ยนไปใช้วิธี 2FA อื่น เช่นรหัส 6 หลัก, หรือปิดการใช้ 2FA (ไม่แนะนำ)
ระบบยังรองรับการใช้ numeric verification code เป็นทางเลือกสำรอง

X แนะนำให้ใช้ทั้ง passkey และรหัส 2FA เพื่อความปลอดภัย
ระบบ passkey ยังมีปัญหาด้านความเสถียรในบางกรณี
การมีวิธีสำรองช่วยให้ไม่สูญเสียการเข้าถึงบัญชี

หากไม่รีเซ็ต passkey ก่อนวันที่ 10 พ.ย. บัญชีจะถูกล็อกทันที
ต้องดำเนินการก่อนวันหมดอายุเพื่อหลีกเลี่ยงการสูญเสียการเข้าถึง
การใช้ passkey ที่ผูกกับ twitter.com จะไม่สามารถใช้งานได้อีก

ลิงก์เก่าและระบบอัตโนมัติที่ใช้ twitter.com อาจหยุดทำงาน
เช่น embed tweets, API calls, หรือ automation tools ที่ยังใช้โดเมนเดิม
ควรตรวจสอบและอัปเดตระบบที่เชื่อมกับ twitter.com

https://securityonline.info/rip-twitter-com-x-retires-old-domain-forcing-passkey-reset-by-nov-10/

Rhadamanthys ซ่อนตัวในเกม Ren’Py พร้อมหลอกผู้เล่นด้วยหน้าจอโหลดปลอมยาว “1 ล้านวินาที”

นักวิจัยจาก AhnLab พบแคมเปญมัลแวร์ใหม่ที่ใช้เกมแนว Visual Novel สร้างด้วย Ren’Py เป็นเครื่องมือในการแพร่กระจาย Rhadamanthys Infostealer โดยแฝงตัวในไฟล์เกมปลอมที่ถูกแชร์ผ่านเว็บโหลดฟรี พร้อมหน้าจอหลอกให้ผู้เล่นรอโหลดเกมนานถึง “1 ล้านวินาที” เพื่อเบี่ยงเบนความสนใจระหว่างมัลแวร์ทำงานเบื้องหลัง

เทคนิคการโจมตีที่ใช้ในแคมเปญนี้
ใช้ Ren’Py เป็นช่องทางฝังมัลแวร์
Ren’Py เป็นเอนจินโอเพ่นซอร์สที่ใช้ Python และได้รับความนิยมในหมู่นักพัฒนาเกมอินดี้
โครงสร้างของ Ren’Py เปิดโอกาสให้ฝังสคริปต์อันตรายในไฟล์ script.rpy และ __init__.py ได้ง่าย

ไฟล์เกมปลอมถูกแชร์ผ่าน MediaFire และฟอรั่มเกมเถื่อน
ผู้ใช้ดาวน์โหลดไฟล์ .zip ที่มีชื่อชวนเชื่อ เช่น “Free Download Files.zip”
ภายในมีไฟล์ lnstaIer.exe ที่เมื่อรันจะเริ่มกระบวนการติดตั้ง Rhadamanthys

มัลแวร์ใช้เทคนิคซับซ้อนในการโหลดและแฝงตัว
สคริปต์ Python จะโหลดไฟล์ .rpa แล้วถอดรหัสเพื่อเรียกใช้ init.py ที่ฝังมัลแวร์
สร้างโฟลเดอร์ชั่วคราวและเรียกใช้ไฟล์ UIS4tq7P.exe พร้อม DLL ที่ฝัง Rhadamanthys
สร้างหน้าจอโหลดปลอมที่แสดงเวลา “999999 วินาที” เพื่อหลอกผู้ใช้ให้รอ

Rhadamanthys ทำงานเก็บข้อมูลระบบและถอดรหัสไฟล์คอนฟิก
ตรวจสอบว่าอยู่ใน VM หรือไม่, เชื่อมต่ออินเทอร์เน็ตได้หรือเปล่า
ถอดรหัสไฟล์ .key ที่เก็บชื่อ payload, รหัสผ่าน และชื่อไฟล์ที่ใช้ในการโจมตี

พบการใช้เทคนิคเดียวกันกับ LummaC2 Infostealer
มีกรณีที่บัญชีนักพัฒนาเกมถูกแฮกและใช้เผยแพร่ LummaC2 แทนเกมจริง
แสดงให้เห็นว่าช่องทางชุมชนเกมสามารถถูกใช้เป็นเครื่องมือโจมตีได้

https://securityonline.info/rhadamanthys-infostealer-hides-in-renpy-visual-novel-games-deploys-malware-via-fake-1-million-second-loading-screen/

ต้มข้ามศตวรรษ – บทนำ 5
นิทานเรื่องจริง เรื่อง “ต้มข้ามศตวรรษ”
บทนำ

(5)

ลำพังการโตเร็วของเยอรมัน ก็ทำให้อังกฤษออกอาการแล้ว มันหมายถึง อังกฤษมองว่าเยอรมันกำลังคุกคามอังกฤษ โดยเยอรมันจะรู้ตัวหรือไม่ก็ตาม และทำให้เยอรมันเปลี่ยนสถานะ กลายเป็นฝ่ายตรงข้ามกับอังกฤษ โดยการจัดตำแหน่งของอังกฤษเอง

ไม่ต่างอะไร กับอาการของอเมริกา ที่มองจีน เมื่อราว คศ 2000 ต้นๆ เมื่อเศรษฐกิจของจีนโตอย่างก้าวกระโดด และอเมริกา ก็จัดสถานะจีน ไว้ในตำแหน่ง ที่ต้องจับตามอง อย่างไม่ใว้วางใจ

สถานะของเยอรมัน เหมือนจะคุกคาม (ความอยากเป็นผู้ครองโลกของ) อังกฤษ มากขึ้นไปอีก ถึงขนาดที่อังกฤษทนอยู่เฉยไม่ได้ เมื่อเยอรมัน ได้รับสัมปทานจากออตโตมาน ให้สร้างทางรถไฟ Berlin Bagdad และไม่ใช่เป็นเส้นทางที่ ผ่านแหล่งน้ำมันอย่างเดียว แต่อังกฤษเห็นว่า เป็นเส้นทางที่เยอรมันจะขนส่งน้ำมันทางบก ในเมโสโปเตเมียได้อย่างอิสระ โดยกองทัพเรืออันเกรียงไกรของอังกฤษ หมดหนทางสกัดกั้น

เมื่อโอกาสของอังกฤษ ที่จะเข้าไปถึงแหล่งน้ำมันที่เล็งไว้ ดูจะลางเลือนมีอุปสรรค ผู้อื่นก็ไม่ควรมีโอกาสดีกว่าอังกฤษ แผนการกำจัดเยอรมัน จึงต้องเกิดขึ้น

ความต้องการของอังกฤษที่แท้จริงคือ กำจัดเยอรมันอย่างหมดจด และครอบครองแหล่งน้ำมันในตะวันออกกลางทั้งหมด โดยไม่มีใครมาแย่ง มาแบ่ง มาขวาง เสาหลักทั้ง 3 จึงจะมีครบอย่างแข็งแรง และการเอาโลกใบนี้มาอยู่ในกำมือของตนตลอดกาลนาน จะได้ไม่เป็นแค่ความฝัน

อังกฤษคิดว่า วิธีเดียว ที่จะทำให้อังกฤษได้ตามที่ต้องการทั้งหมดคือ ต้องสร้างสงคราม !

เดือนเมษายน คศ 1914 George ที่ 7 กษัตริย์ของอังกฤษ พร้อมด้วยนายกรัฐมนตรี
Sir Edward Grey จึงเดินทางไปฝรั่งเศส เป็นกรณีพิเศษ เพื่อไปพบประธานาธิบดี Poincare ของฝรั่งเศส ที่ปารีส โดยมีนาย Iswolski ฑูตรัสเซียประจำฝรั่งเศส เข้าร่วมสนทนากัน 3 ประเทศ และด้วยลิ้นการทูตที่ยาวไปถึงใบหู อันแสนโดดเด่นของอังกฤษ ทั้ง 3 ประเทศ ก็ตกลงจับมือกันอย่างเป็นทางการ เพื่อผนึกกำลังด้านการทหารสำหรับต่อสู้ กับฝ่ายเยอรมันและออสเตรียฮังการี

อันที่จริง ในสังคมอีลิต และชนชั้นสูงอังกฤษ ก็เห็นพ้องกันก่อน ปี คศ 1914 เสียด้วยซ้ำว่า สงครามเป็นเรื่องจำเป็น เพื่อจะได้จัดระเบียบของยุโรปเสียใหม่ ให้เป็นไปตามที่อังกฤษเห็นเหมาะสม
เป็นเวลาหลายทศวรรษมาแล้ว ที่อังกฤษใช้วิธีถ่วงอำนาจการควบคุมยุโรป ด้วยการสนับสนุนอาณาจักรออตโตมาน (ตุรกี ในปัจจุบัน) เพื่อใช้เป็นเครื่องมือขวางทางรัสเซีย ที่กำลังสร้างความก้าวหน้าทางด้านอุตสาหกรรม อังกฤษสนับสนุนตุรกี ให้ควบคุม Dardanelles ทางเข้าแหล่งน้ำจืดของรัสเซีย ซึ่งเป็นเรื่องสำคัญมากของรัสเซียขณะนั้น แต่การที่ออตโตมาน กลายมาเป็นส่วนหนึ่ง ที่สนับสนุนความเจริญทางเศรษฐกิจ ของเยอรมัน ที่เข้มแข็งขึ้นทุกวันในช่วงปลาย คศ 1900 ถึง 1900 ต้นๆ อังกฤษ จึงต้องปรับดุลยอำนาจ และแผนการทูต ที่เกี่ยวข้องเสียใหม่

อังกฤษเริ่มแผน ด้วยการปรับสัมพันธ์การทูต เปลี่ยนมิตรเป็นศัตรู และเปลี่ยนศัตรูเป็นมิตร ตามผลประโยชน์ของอังกฤษ อังกฤษใช้ผลประโยชน์อย่างเดียว เป็นเครื่องวัดความสัมพันธ์ระหว่างประเทศ และในกรณีนี้ ออตโตมาน ซึ่งเคยเป็นมิตรที่ดีกับอังกฤษ เสมอมา จึงถูกปรับสถานะใหม่ ให้เป็นศัตรู และไม่ใช่ศัตรูธรรมดา เป็นศัตรูที่ต้องถูกลงโทษ จนไม่เหลือประเทศ เพราะไปคบกับเยอรมัน ที่อังกฤษยกระดับให้เป็นศัตรูหมายเลขหนึ่งไปแล้ว และเพราะออตโตมานมีแหล่งน้ำมันที่อังกฤษตั้งใจจะครอบครองให้ได้ แต่ออตโตมานกำลังทำตัว ให้เยอรมันมีโอกาสได้แหล่งน้ำมัน ที่อังกฤษเล็งไว้ไปแทน

ส่วนรัสเซีย ซึ่งอังกฤษเคยมองอย่างไม่ไว้ใจ คราวนี้จึงถูกหลอก มาให้ช่วยกำจัดออตโตมาน ซึ่งอังกฤษก็น่าจะมีเป้าหมาย ให้รัสเซียมีชะตากรรมไม่ต่างกับออตโตมาน เช่นกัน

อังกฤษ มีความไม่พอใจรัสเซียสะสมอยู่แล้ว ที่รัสเซียเอง ก็มีแผนที่จะสร้างทางรถไฟสาย Trans-Siberia ยาว 5,400 ไมล์ ไปถึงเมืองท่า Vladivostock ทางตะวันออกไกลของรัสเซีย ตั้งแต่ ประมาณ คศ 1890 ต้นๆ ถ้ารัสเซียสร้างสำเร็จ จะทำให้รัสเซียเจริญขึ้นอย่างรวดเร็ว และเป็นสิ่งที่อังกฤษยอมให้เกิดขึ้นไม่ได้เช่นเดียวกัน อังกฤษเป็นโรคแพ้ทางรถไฟของผู้อื่นจริงๆ อังกฤษพยายามเสี้ยม ให้เกิดสงครามบอลข่านหลายครั้ง เพื่อขวางการสร้างทางรถไฟ สาย Trans-Siberia แต่ในที่สุด ในปี คศ 1903 Trans-Siberia ก็สร้างสำเร็จ

แต่รัสเซีย ก็หนีไม่พ้นมือขวางของอังกฤษ คศ 1904 อังกฤษ สนับสนุนให้ญี่ปุ่นบุกรัสเซียทางไซบีเรีย รัสเซียแพ้ญี่ปุ่นอย่างไม่น่าเชื่อ หลังจากนั้น ภายในรัสเซียเองก็เริ่มระส่ำระสาย มีการแบ่งข้าง แบ่งฝ่าย วุ่นวายไปหมด ฝ่ายหนึ่งเห็นว่าน่าจะต้านอังกฤษต่อไม่ไหว ควรกลับไปอ่อนข้อกับอังกฤษ อีกฝ่ายหนึ่ง คือฝ่ายที่สนับสนุนให้มีการสร้างทางรถไฟ บอกว่า ถ้ารัสเซียยอมอังกฤษเที่ยวนี้อีก ก็คงต้องยอมไปตลอดชาติ

ซาร์นิโคลัส ที่ 2 ตัดสินใจตามความเห็นของฝ่ายแรก ปลดรัฐมนตรีที่แนะนำให้สร้างทางรถไฟ และ ตกลงยอมอ่อนข้อให้อังกฤษ แล้วรัสเซียก็เสียสิทธิในการปกครองอาฟกานิสถาน กับดินแดนบางส่วนในอิหร่านให้อังกฤษไปด้วย เป็นบทเรียนที่รัสเซียไม่ควรลืม

ปี คศ 1907 อังกฤษ กล่อมฝรั่งเศสและรัสเซีย มาร่วมเป็นสัมพันธมิตร Triple Entente โดยมีเป้าหมายแรก เพื่อล๊อกคอ 2 สหาย แยกออกมาจากฝั่งเยอรมันเสียก่อน เพื่อก้าวไปยังเป้าหมายต่อไป คือการทำสงครามกับเยอรมัน รัสเซียคงแพ้ทางอังกฤษ เดินหมากผิดติดต่อกัน
หลังจากล๊อกคอ 2 สหายมาได้แล้ว อังกฤษ ก็ยุให้เกิดสงครามบอลข่าน 1 ในปี คศ 1912 บุลกาเรีย กรีก และเซอร์เบีย ทำสงครามกับออตโตมาน ซึ่งกำลังเริ่มเป็นคนป่วย (ทางเศรษฐกิจ) ของยุโรป อังกฤษเห็นว่า ไม่มีโอกาสไหนจะดีกว่า ทุบคนเวลาป่วย มีแต่ชนะไม่มีแพ้ แล้วออตโตมานก็น่วมตามคาด รอเวลาถูกทึ้ง

บอลข่าน 1 เกิดขึ้นแล้ว แต่เยอรมันอาจมีตัวช่วยเหลืออยู่ บอลข่าน 2 จึงต้องเกิดขึ้น โดยโรมาเนียออกมาช่วยอัดกลับบุลกาเรีย อัดกันไปอัดกันมา ผลสุดท้ายอ่อนล้าไปทั้งคู่ ทั้งหมดเป็นการเตรียมการของอังกฤษในการเข้าเข้าสู่สงคราม ที่อังกฤษเรียกว่า The Great Game ที่อังกฤษวางแผนไว้เอง

ด้วยสงครามเท่านั้น ที่จะทำลายเยอรมันจนหมดสภาพ ทำลายจักรออตโตมานจนไม่เหลือเค้าเดิม เพื่ออังกฤษจะได้เขียนแผนที่ตะวันออกกลางเสียใหม่ จัดสรร แบ่งแหล่งน้ำมันกันใหม่ กับผู้ที่ชนะสงคราม และเปิดตลาดให้นักล่ารุ่นใหม่เข้าไปแล่เนื้อเถือหนังของผู้ที่ตกเป็นเหยื่อ

3 อาณาจักรใหญ่ มีประวัติศาสตร์ยืนยาว และน่าจะยังยั่งยืนได้ต่อไป ออตโตมาน เยอรมัน รัสเซีย จึงถูกวางแผนให้ล่มสลาย

3 เดือนหลังจากที่อังกฤษ ไปจับมือกับฝรั่งเศสและรัสเซียที่ปารีส วันที่ 28 กรกฎาคม คศ 1914 อาชดยุก ฟรานซ์ เฟอร์ดินานด์ รัชทายาทของราชวงศ์ออสเตรีย ก็ถูกลอบยิง ที่เมืองเซราเยโว โดยชาวเซอร์เบีย ที่มีข่าวลือว่าเป็นสายลับของอังกฤษ

แล้วสงครามโลกครั้งที่ 1 ก็เริ่มขึ้นตามแผนของอังกฤษ

สวัสดีครับ
คนเล่านิทาน
22 เม.ย. 2558

Kaspersky แฉแคมเปญจารกรรม ForumTroll ใช้ช่องโหว่ Chrome Zero-Day ส่งสปายแวร์ Dante จาก Memento Labs

นักวิจัยจาก Kaspersky เปิดเผยแคมเปญจารกรรมไซเบอร์ระดับสูงชื่อว่า “Operation ForumTroll” ซึ่งใช้ช่องโหว่ Zero-Day ใน Google Chrome (CVE-2025-2783) เพื่อส่งสปายแวร์ LeetAgent และ Dante ที่เชื่อมโยงกับบริษัท Memento Labs จากอิตาลี โดยแค่ “คลิกเปิดเว็บไซต์” ก็สามารถถูกติดมัลแวร์ได้ทันที

วิธีการโจมตีและเทคนิคที่ใช้
เริ่มต้นด้วยอีเมลฟิชชิ่งที่ปลอมเป็นคำเชิญเข้าร่วมงาน Primakov Readings พร้อมลิงก์เฉพาะบุคคล
เมื่อเหยื่อเปิดลิงก์ผ่าน Chrome หรือเบราว์เซอร์ที่ใช้ Chromium จะถูกโจมตีทันทีโดยไม่ต้องคลิกเพิ่มเติม
ช่องโหว่ CVE-2025-2783 ใช้จุดอ่อนของ Windows API (pseudo-handle -2) เพื่อหลบหลีก sandbox ของ Chrome
หลังจากหลบ sandbox ได้แล้ว จะมีการโหลดสคริปต์ตรวจสอบผู้ใช้จริงผ่าน WebGPU และถอดรหัส payload ที่ซ่อนในไฟล์ JavaScript และฟอนต์ปลอม
ใช้เทคนิค COM hijacking เพื่อฝัง DLL อันตรายลงในระบบ
โหลด LeetAgent ซึ่งสามารถสั่งงานจากระยะไกล, keylogging, และขโมยไฟล์ .doc, .xls, .pdf, .pptx
สื่อสารกับเซิร์ฟเวอร์ควบคุมผ่าน HTTPS โดยใช้ CDN ของ Fastly เพื่อหลบการตรวจจับ
พบว่า LeetAgent เป็นตัวนำส่ง Dante ซึ่งเป็นสปายแวร์เชิงพาณิชย์ที่พัฒนาโดย Memento Labs (อดีต Hacking Team)

ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-2783 เป็นช่องโหว่แบบ sandbox escape ใน Chrome
ใช้ Windows API ที่ไม่ถูกตรวจสอบอย่างเหมาะสมในการหลบ sandbox
แคมเปญ ForumTroll ใช้อีเมลฟิชชิ่งที่เขียนภาษารัสเซียอย่างแนบเนียน
โหลด LeetAgent และ Dante ซึ่งเป็นสปายแวร์ที่มีความสามารถสูง
Dante ใช้เทคนิค VMProtect, anti-debugging, anti-sandbox และโมดูลแบบแยกส่วน
การตั้งชื่อ “Dante” อาจสื่อถึง “วงนรก” ที่นักวิเคราะห์มัลแวร์ต้องผ่านในการวิเคราะห์

เป้าหมายของการโจมตี
สื่อ, มหาวิทยาลัย, หน่วยงานรัฐ, สถาบันการเงินในรัสเซียและเบลารุส
ใช้ลิงก์เฉพาะบุคคลเพื่อติดตามและหลบการตรวจจับ
แสดงความเชี่ยวชาญด้านภาษาและวัฒนธรรมในภูมิภาคเป้าหมาย

https://securityonline.info/kaspersky-exposes-chrome-zero-day-rce-cve-2025-2783-delivering-memento-labs-spyware-in-forumtroll-campaign/