WordPress เสี่ยงถูกยึด! ช่องโหว่ร้ายแรงในปลั๊กอิน AI Engine เปิดทางแฮกเกอร์เข้าควบคุมเว็บไซต์

วันนี้มีเรื่องเล่าที่เจ้าของเว็บไซต์ WordPress ต้องฟังให้ดี เพราะนักวิจัยจาก Wordfence ได้เปิดเผยช่องโหว่ระดับ “วิกฤต” ในปลั๊กอินยอดนิยม AI Engine ซึ่งมีผู้ใช้งานกว่า 100,000 เว็บไซต์ทั่วโลก ช่องโหว่นี้มีรหัส CVE-2025-11749 และได้คะแนน CVSS สูงถึง 9.8 ซึ่งหมายถึง “อันตรายขั้นสุด” เพราะเปิดช่องให้ผู้ไม่หวังดีเข้ายึดเว็บไซต์ได้โดยไม่ต้องล็อกอิน!

ปลั๊กอิน AI Engine ถูกออกแบบมาเพื่อเชื่อมต่อกับโมเดลภาษาอย่าง ChatGPT และ Claude โดยใช้ระบบ MCP (Model Context Protocol) ที่สามารถให้ AI ทำงานระดับผู้ดูแลระบบ เช่น แก้ไขเนื้อหา จัดการผู้ใช้ หรืออัปโหลดไฟล์

แต่ปัญหาอยู่ที่ฟีเจอร์ “No-Auth URL” ซึ่งเมื่อเปิดใช้งาน (แม้จะปิดไว้โดยค่าเริ่มต้น) จะทำให้ token สำหรับยืนยันตัวตนถูกเปิดเผยผ่าน REST API สาธารณะ โดยไม่มีการป้องกัน ทำให้แฮกเกอร์สามารถดึง token ไปใช้สั่งคำสั่งระดับผู้ดูแล เช่น wp_update_user เพื่อเปลี่ยนสิทธิ์ของตัวเองเป็นแอดมิน และเข้าควบคุมเว็บไซต์ได้ทันที

ช่องโหว่นี้เกิดจากการตั้งค่าผิดพลาดในฟังก์ชัน rest_api_init() ที่ไม่ได้ปิดการแสดง endpoint ใน index ของ REST API ส่งผลให้ token ถูกเผยแพร่โดยไม่ตั้งใจ

สาระเพิ่มเติมจากภายนอก
REST API เป็นช่องทางที่ WordPress ใช้ในการสื่อสารระหว่างระบบ ซึ่งหากตั้งค่าไม่ดีอาจเปิดช่องให้ถูกโจมตีได้ง่าย
การใช้ bearer token โดยไม่มีการเข้ารหัสหรือจำกัดสิทธิ์ เป็นความเสี่ยงที่พบได้บ่อยในระบบ API
การโจมตีแบบนี้จัดอยู่ในกลุ่ม “Privilege Escalation” ซึ่งเป็นหนึ่งในเทคนิคยอดนิยมของแฮกเกอร์ในการยึดระบบ

รายละเอียดช่องโหว่ CVE-2025-11749
คะแนน CVSS 9.8 ระดับ “Critical”
เกิดจากการเปิดเผย bearer token ผ่าน REST API
ส่งผลให้ผู้ไม่หวังดีสามารถสั่งคำสั่งระดับแอดมินได้ทันที
กระทบทุกเวอร์ชันก่อน 3.1.4

การทำงานของปลั๊กอิน AI Engine
เชื่อมต่อกับโมเดล AI เช่น ChatGPT และ Claude
ใช้ MCP ในการสั่งงานระดับผู้ดูแลระบบ
มีฟีเจอร์ “No-Auth URL” ที่เปิดช่องโหว่เมื่อเปิดใช้งาน

การแก้ไขและคำแนะนำ
อัปเดตปลั๊กอินเป็นเวอร์ชัน 3.1.4 ทันที
ปิดการใช้งาน “No-Auth URL” หากไม่จำเป็น
ตรวจสอบว่า endpoint ไม่ถูกแสดงใน REST API index
ใช้ระบบตรวจสอบสิทธิ์ที่ปลอดภัยมากขึ้น

คำเตือนสำหรับผู้ดูแลเว็บไซต์ WordPress
หากเปิดใช้งาน “No-Auth URL” โดยไม่รู้ตัว เว็บไซต์อาจถูกยึดได้ทันที
อย่าปล่อยให้ token ถูกเปิดเผยใน API โดยไม่มีการป้องกัน
ควรตรวจสอบการตั้งค่า REST API ทุกครั้งหลังติดตั้งปลั๊กอินใหม่
อย่ารอให้เกิดการโจมตีจริงก่อนจึงค่อยอัปเดต

เรื่องนี้ไม่ใช่แค่ช่องโหว่ธรรมดา แต่มันคือ “ประตูหลัง” ที่เปิดให้ใครก็ได้เข้ามาเปลี่ยนสิทธิ์ตัวเองเป็นแอดมิน และควบคุมเว็บไซต์ของคุณได้ในพริบตา… ถ้าไม่รีบปิดประตูนี้ อาจต้องจ่ายด้วยชื่อเสียงและข้อมูลของลูกค้าทั้งหมด.

https://securityonline.info/critical-cve-2025-11749-flaw-in-ai-engine-plugin-exposes-wordpress-sites-to-full-compromise/

CISA เตือนภัย! ช่องโหว่ร้ายแรงในกล้อง Survision LPR เสี่ยงถูกยึดระบบโดยไม่ต้องล็อกอิน

วันนี้มีเรื่องเล่าที่คนทำงานด้านความปลอดภัยไซเบอร์ต้องฟังให้ดี เพราะ CISA (Cybersecurity and Infrastructure Security Agency) ได้ออกประกาศเตือนถึงช่องโหว่ระดับ “วิกฤต” ในกล้องวงจรปิดอัจฉริยะ Survision LPR (License Plate Recognition) ที่ใช้กันแพร่หลายในระบบจราจรและการจัดการที่จอดรถทั่วโลก

ช่องโหว่นี้มีรหัส CVE-2025-12108 และได้คะแนน CVSS สูงถึง 9.8 ซึ่งหมายถึง “อันตรายขั้นสุด” เพราะมันเปิดช่องให้ผู้ไม่หวังดีสามารถเข้าถึงระบบได้ “โดยไม่ต้องล็อกอิน” หรือยืนยันตัวตนใดๆ ทั้งสิ้น!

กล้อง Survision LPR มีระบบตั้งค่าผ่าน wizard ที่ “ไม่บังคับให้ใส่รหัสผ่าน” โดยค่าเริ่มต้น ทำให้ใครก็ตามที่เข้าถึงระบบสามารถปรับแต่งการทำงานของกล้องได้ทันที ไม่ว่าจะเป็นการเปลี่ยนการตั้งค่าเครือข่าย การจัดเก็บข้อมูล หรือแม้แต่การควบคุมการทำงานของกล้องทั้งหมด

CISA ระบุว่า ช่องโหว่นี้เข้าข่าย CWE-306: Missing Authentication for Critical Function ซึ่งเป็นจุดอ่อนที่อันตรายมากในระบบที่ควบคุมอุปกรณ์สำคัญ

แม้ยังไม่มีรายงานการโจมตีจริงในตอนนี้ แต่ CISA และ Survision แนะนำให้ผู้ใช้งานรีบอัปเดตเฟิร์มแวร์เป็นเวอร์ชัน 3.5 ซึ่งเพิ่มระบบล็อกอินและการตรวจสอบสิทธิ์แบบใหม่ รวมถึงแนะนำให้เปิดใช้การยืนยันตัวตนด้วย certificate และกำหนดสิทธิ์ผู้ใช้งานให้จำกัดที่สุดเท่าที่จะทำได้

สาระเพิ่มเติมจากภายนอก
กล้อง LPR ถูกใช้ในระบบ Smart City, การจัดการจราจร, และระบบรักษาความปลอดภัยในพื้นที่สำคัญ เช่น สนามบินและสถานีขนส่ง
ช่องโหว่แบบ “ไม่มีการตรวจสอบตัวตน” เป็นหนึ่งในช่องโหว่ที่ถูกใช้บ่อยที่สุดในการโจมตีแบบ IoT Hijacking
การโจมตีผ่านอุปกรณ์ IoT เช่นกล้องวงจรปิดสามารถนำไปสู่การสร้าง botnet หรือใช้เป็นจุดเริ่มต้นในการเจาะระบบเครือข่ายองค์กร

รายละเอียดช่องโหว่ CVE-2025-12108
คะแนน CVSS 9.8 ระดับ “Critical”
เกิดจากการไม่บังคับใช้รหัสผ่านใน wizard ตั้งค่า
เข้าข่าย CWE-306: Missing Authentication for Critical Function
ส่งผลให้ผู้ไม่หวังดีสามารถเข้าถึงระบบได้ทันที

กลุ่มผู้ใช้งานที่ได้รับผลกระทบ
หน่วยงานรัฐและเทศบาลที่ใช้กล้อง LPR
ผู้ให้บริการที่จอดรถอัจฉริยะ
ระบบตรวจจับป้ายทะเบียนในสนามบินและสถานีขนส่ง

แนวทางแก้ไขจาก Survision และ CISA
อัปเดตเฟิร์มแวร์เป็น v3.5 เพื่อเปิดใช้ระบบล็อกอิน
กำหนดสิทธิ์ผู้ใช้งานให้จำกัด
เปิดใช้การยืนยันตัวตนด้วย certificate
สำหรับเวอร์ชันเก่า ให้เปิดใช้ “lock password” ใน security parameters

คำเตือนสำหรับผู้ดูแลระบบ
หากยังใช้เฟิร์มแวร์เวอร์ชันเก่า อุปกรณ์อาจถูกยึดระบบได้ทันที
อย่าปล่อยให้ระบบเปิด wizard โดยไม่มีการล็อกอิน
ควรตรวจสอบการตั้งค่าความปลอดภัยของอุปกรณ์ทั้งหมด
อย่ารอให้เกิดการโจมตีจริงก่อนจึงค่อยอัปเดต

เรื่องนี้ไม่ใช่แค่ช่องโหว่เล็กๆ ในกล้องวงจรปิด แต่มันคือ “ประตูหลัง” ที่เปิดให้ใครก็ได้เข้ามาควบคุมระบบของคุณโดยไม่ต้องเคาะ… และถ้าไม่รีบปิดประตูนี้ อาจต้องจ่ายแพงกว่าที่คิด.

https://securityonline.info/cisa-warns-critical-survision-lpr-camera-flaw-cve-2025-12108-cvss-9-8-allows-unauthenticated-takeover/

ยุคใหม่แห่งการล็อกอิน: Microsoft Edge เปิดตัวฟีเจอร์ Passkey Sync ข้ามอุปกรณ์

ลองนึกภาพว่าเราไม่ต้องจำรหัสผ่านอีกต่อไป ไม่ต้องตั้งใหม่ทุกครั้งที่เปลี่ยนอุปกรณ์ และไม่ต้องกลัวถูกแฮกง่าย ๆ — Microsoft Edge เวอร์ชัน 142.0 ได้เปิดประตูสู่โลกแบบนั้นแล้ว ด้วยฟีเจอร์ใหม่ที่ชื่อว่า Cross-Platform Passkey Sync ที่ช่วยให้ผู้ใช้สามารถใช้ passkey เดิมได้บนหลายอุปกรณ์อย่างปลอดภัยและสะดวกสุด ๆ

ฟีเจอร์นี้ไม่ใช่แค่เรื่องของความสะดวก แต่ยังเป็นก้าวสำคัญของโลกไซเบอร์ที่กำลังผลักดันให้เราเข้าสู่ยุค Passwordless อย่างแท้จริง โดย Microsoft ไม่ได้หยุดแค่ใน Edge เท่านั้น แต่ยังมีแผนจะเปิดให้เบราว์เซอร์อื่นอย่าง Chrome และ Firefox เข้าถึง passkey ที่เก็บไว้ในบัญชี Microsoft ได้ด้วย ผ่านส่วนขยายที่กำลังพัฒนาอยู่

นอกจากนี้ ยังมีการเพิ่มระบบ PIN เพื่อป้องกันการเข้าถึง passkey โดยไม่ได้รับอนุญาต แม้จะใช้เครื่องเดียวกันก็ตาม ซึ่งเป็นการเพิ่มชั้นความปลอดภัยอีกระดับหนึ่ง

และถ้าคุณใช้ Windows 10 หรือ 11 พร้อม Microsoft Edge เวอร์ชันล่าสุด และมีบัญชี Microsoft อยู่แล้ว — คุณก็พร้อมเข้าสู่โลกไร้รหัสผ่านได้ทันที

Microsoft Edge เปิดตัวฟีเจอร์ Passkey Sync ข้ามอุปกรณ์
ช่วยให้ผู้ใช้สามารถใช้ passkey เดิมได้บนหลายอุปกรณ์โดยไม่ต้องตั้งใหม่
ลดความยุ่งยากในการจัดการรหัสผ่าน และเพิ่มความสะดวกในการล็อกอิน

ระบบ PIN ถูกเพิ่มเพื่อป้องกันการเข้าถึง passkey โดยไม่ได้รับอนุญาต
PIN จะถูกตั้งเมื่อสร้าง passkey ครั้งแรก และใช้ในการล็อกอินครั้งต่อ ๆ ไป
แม้ใช้เครื่องเดียวกัน ก็ไม่สามารถเข้าถึง passkey ได้หากไม่มี PIN

Microsoft กำลังพัฒนาส่วนขยายสำหรับเบราว์เซอร์อื่น
Chrome และ Firefox จะสามารถใช้ passkey จากบัญชี Microsoft ได้ในอนาคต
เพิ่มความสะดวกในการใช้งานข้ามเบราว์เซอร์

ฟีเจอร์นี้รองรับเฉพาะ Windows 10 และ 11
ต้องใช้ Microsoft Edge เวอร์ชัน 142.0 และบัญชี Microsoft ที่ลงชื่อเข้าใช้

การใช้ passkey ยังต้องระวังเรื่องความปลอดภัยของ PIN
หาก PIN ถูกเปิดเผย อาจนำไปสู่การเข้าถึงข้อมูลสำคัญได้
ควรตั้ง PIN ที่คาดเดายาก และไม่ใช้ซ้ำกับรหัสอื่น

ฟีเจอร์นี้ยังไม่รองรับทุกเบราว์เซอร์ในตอนนี้
ผู้ใช้ Safari หรือเบราว์เซอร์อื่นอาจต้องรอส่วนขยายจาก Microsoft
การใช้งานข้ามแพลตฟอร์มยังอยู่ในขั้นพัฒนา

https://securityonline.info/passwordless-future-microsoft-edge-142-rolls-out-cross-platform-passkey-sync/

“อย่าเก็บรหัสผ่านไว้ในเบราว์เซอร์” — คำเตือนจากผู้เชี่ยวชาญด้านความปลอดภัย

หลายคนอาจรู้สึกสะดวกเมื่อเบราว์เซอร์เสนอให้ “บันทึกรหัสผ่านไว้ใช้ครั้งหน้า” แต่ความสะดวกนั้นอาจแลกมาด้วยความเสี่ยงที่คุณไม่ทันระวัง บทความจาก SlashGear ได้ชี้ให้เห็นถึงข้อเสียของการใช้เบราว์เซอร์เป็นตัวจัดการรหัสผ่าน พร้อมแนะนำทางเลือกที่ปลอดภัยกว่าอย่างการใช้ password manager โดยเฉพาะแบบ dedicated

เบราว์เซอร์จัดเก็บรหัสผ่านในโฟลเดอร์โปรไฟล์ท้องถิ่น
แล้วซิงก์ไปยังเซิร์ฟเวอร์ของ Google หรือ Microsoft โดยไม่มีการเข้ารหัสแบบ end-to-end

ไม่มีระบบ vault ที่เข้ารหัสลับแบบเต็มรูปแบบ
ทำให้รหัสผ่านเสี่ยงต่อการถูกเข้าถึงหากบัญชีถูกแฮกหรือมีมัลแวร์

เบราว์เซอร์อาจ autofill รหัสผ่านในเว็บไซต์ปลอม
เสี่ยงต่อการถูกโจมตีแบบ phishing

Dedicated password manager ใช้การเข้ารหัสระดับสูง
เช่น AES-256 และ zero-knowledge architecture ที่ปลอดภัยกว่า

ตัวจัดการรหัสผ่านแบบเฉพาะมีระบบแจ้งเตือนการรั่วไหล
ช่วยให้ผู้ใช้รู้ทันเมื่อข้อมูลถูกละเมิด

Apple Keychain ใช้ end-to-end encryption
แม้จะปลอดภัยกว่าเบราว์เซอร์ทั่วไป แต่ยังไม่เทียบเท่า dedicated password manager

Google Password Manager มีฟีเจอร์ on-device encryption
ผู้ใช้สามารถเลือกให้รหัสผ่านถูกเข้ารหัสเฉพาะในอุปกรณ์ของตน

หากบัญชี Google ถูกล็อกหรือสูญหาย อาจสูญเสียรหัสผ่านทั้งหมด
เพราะการเข้ารหัสผูกกับบัญชีและอุปกรณ์

เบราว์เซอร์อาจ autofill รหัสผ่านในหน้าเว็บปลอม
ทำให้ผู้ใช้ตกเป็นเหยื่อ phishing ได้ง่าย

มัลแวร์สามารถขโมยรหัสผ่านจากเบราว์เซอร์ได้ง่ายกว่า
เช่น RedLine Stealer และ Raccoon ที่เจาะข้อมูลจาก browser storage

https://www.slashgear.com/2010389/you-shouldnt-store-passwords-in-web-browser/

Claude Code ช่วยดีบั๊กอัลกอริธึมเข้ารหัสระดับล่างได้จริง! เรื่องจริงจากนักพัฒนา Go.

Filippo Valsorda นักพัฒนาและผู้ดูแลโครงการโอเพ่นซอร์สด้านความปลอดภัย ได้แชร์ประสบการณ์สุดทึ่งว่า Claude Code สามารถช่วยเขาดีบั๊กอัลกอริธึมเข้ารหัส ML-DSA ที่เขาเพิ่งเขียนในภาษา Go ได้อย่างแม่นยำและรวดเร็ว โดยที่เขาเองยังไม่คาดคิดว่าจะได้ผลลัพธ์ขนาดนี้!

เขาเริ่มต้นด้วยการเขียน ML-DSA ซึ่งเป็นอัลกอริธึมลายเซ็นหลังยุคควอนตัมที่ NIST เพิ่งประกาศเมื่อปีที่แล้ว แต่เมื่อรันการตรวจสอบลายเซ็นกลับพบว่า “Verify” ล้มเหลวทุกครั้ง แม้จะใช้ test vector ที่ถูกต้องก็ตาม หลังจากพยายามดีบั๊กเองแล้วไม่สำเร็จ เขาจึงลองให้ Claude Code วิเคราะห์ดู — และมันสามารถระบุบั๊กที่ซับซ้อนในระดับ low-level ได้ภายในไม่กี่นาที!

บทความนี้พิสูจน์ว่า AI agent อย่าง Claude Code ไม่ใช่แค่เครื่องมือช่วยเขียนโค้ด แต่สามารถเป็น “ผู้ช่วยดีบั๊ก” ที่ทรงพลังในงานระดับล่างที่ซับซ้อน โดยเฉพาะในโลกของคริปโตกราฟีที่ต้องการความแม่นยำสูงสุด

Claude Code ตรวจพบบั๊กใน ML-DSA ได้อย่างแม่นยำ
ระบุว่า “w1” ถูกเข้ารหัสซ้ำซ้อนในขั้นตอน Verify ทำให้ลายเซ็นไม่ผ่าน

Claude เขียน test ย่อยเพื่อยืนยันสมมติฐานของตัวเอง
แม้โค้ดแก้ไขจะไม่สมบูรณ์ แต่ช่วยชี้จุดบั๊กได้ตรงเป้า

Claude ยังช่วยดีบั๊กบั๊กอื่นในขั้นตอน signing ได้อีก
เช่น ค่าคงที่ใน Montgomery domain ที่ผิด และการเข้ารหัสค่าที่สั้นเกินไป

Claude ใช้เทคนิค printf debugging เหมือนนักพัฒนามืออาชีพ
วิเคราะห์ค่าที่ผิดและเสนอแนวทางแก้ไขได้ใกล้เคียงกับมนุษย์

Claude ทำงานแบบ one-shot ได้ดี
ไม่ต้องใช้ context หรือคำสั่งพิเศษมากมาย ก็สามารถหาบั๊กได้ทันที

Claude ไม่จำเป็นต้อง “เชื่อถือ” เหมือนมนุษย์
ใช้เพื่อชี้จุดบั๊ก แล้วให้มนุษย์ตัดสินใจแก้ไขเองได้อย่างปลอดภัย

Claude อาจไม่เหมาะกับบั๊กที่มีผลลัพธ์สุ่มหรือดูไม่เป็นระเบียบ
เช่น บั๊กที่ทำให้ลายเซ็นมีขนาดผิด Claude ใช้เวลานานกว่าจะเข้าใจ

ไม่ควรใช้ Claude เพื่อแก้โค้ดโดยตรงในระบบโปรดักชัน
ควรใช้เพื่อชี้จุดบั๊ก แล้วให้มนุษย์ refactor หรือแก้ไขอย่างเหมาะสม

Claude อาจหยุดหลังแก้บั๊กแรก แม้ยังมีบั๊กอื่นอยู่
ต้องเริ่ม session ใหม่เพื่อให้มันวิเคราะห์บั๊กถัดไปได้อย่างมีประสิทธิภาพ

https://words.filippo.io/claude-debugging/

TruffleNet: ปฏิบัติการแฮกระบบคลาวด์ครั้งใหญ่ ใช้ AWS SES และ Portainer ควบคุมโฮสต์อันตรายกว่า 800 เครื่อง

Fortinet เผยแคมเปญไซเบอร์ “TruffleNet” ที่ใช้บัญชี AWS ที่ถูกขโมยมาเพื่อส่งอีเมลหลอกลวง (BEC) ผ่าน Amazon SES และควบคุมโครงสร้างพื้นฐานกว่า 800 โฮสต์โดยใช้ Portainer ซึ่งเป็นเครื่องมือจัดการ Docker แบบโอเพ่นซอร์ส

แฮกเกอร์เริ่มจากการใช้เครื่องมือ TruffleHog สแกนหา AWS key ที่รั่วไหล จากนั้นใช้ API ของ AWS เช่น GetCallerIdentity และ GetSendQuota เพื่อตรวจสอบว่า key ใช้งานได้หรือไม่ และสามารถส่งอีเมลผ่าน SES ได้มากแค่ไหน

เมื่อได้ key ที่ใช้ได้ พวกเขาจะใช้ Portainer เป็นแดชบอร์ดควบคุมเครื่องจำนวนมาก โดยติดตั้ง OpenSSH และเปิดพอร์ตที่ใช้ควบคุม เช่น 5432 และ 3389 เพื่อสั่งการจากระยะไกล

หนึ่งในเทคนิคที่น่ากลัวคือการใช้ DomainKeys Identified Mail (DKIM) ที่ขโมยมาจากเว็บไซต์ WordPress ที่ถูกแฮก เพื่อสร้างตัวตนปลอมในการส่งอีเมลหลอกลวง เช่น การปลอมเป็นบริษัท ZoomInfo เพื่อหลอกให้เหยื่อโอนเงินกว่า $50,000

แคมเปญ TruffleNet ใช้ AWS SES และ Portainer
ใช้ AWS key ที่ถูกขโมยมาเพื่อส่งอีเมล BEC
ใช้ Portainer ควบคุมโฮสต์กว่า 800 เครื่องใน 57 เครือข่าย
ใช้ API ของ AWS ตรวจสอบสิทธิ์และขีดจำกัดการส่งอีเมล

เทคนิคการแฝงตัวและควบคุมระบบ
ใช้ TruffleHog สแกนหา AWS key ที่รั่ว
ใช้ Portainer เป็นแดชบอร์ดควบคุม Docker
เปิดพอร์ต 5432 และ 3389 เพื่อควบคุมจากระยะไกล

การโจมตีแบบ BEC (Business Email Compromise)
ใช้ DKIM จากเว็บไซต์ WordPress ที่ถูกแฮก
ปลอมเป็นบริษัทจริง เช่น ZoomInfo ส่งใบแจ้งหนี้ปลอม
หลอกให้เหยื่อโอนเงินไปยังบัญชีของแฮกเกอร์

คำเตือนสำหรับองค์กรที่ใช้ AWS และ Docker
ตรวจสอบการรั่วไหลของ AWS key อย่างสม่ำเสมอ
จำกัดสิทธิ์ของ key และตรวจสอบการใช้ API ที่ผิดปกติ
ป้องกันการเข้าถึง Portainer ด้วยการตั้งรหัสผ่านและจำกัด IP
ตรวจสอบ DKIM และ SPF ของโดเมนเพื่อป้องกันการปลอม

https://securityonline.info/cloud-abuse-trufflenet-bec-campaign-hijacks-aws-ses-and-portainer-to-orchestrate-800-malicious-hosts/

“SMILODON” แฝงร้ายในรูปภาพ: มัลแวร์สุดแนบเนียนโจมตีร้านค้า WooCommerce

ลองนึกภาพว่าคุณกำลังดูแลร้านค้าออนไลน์บน WordPress ที่ใช้ WooCommerce อยู่ดีๆ แล้วมีปลั๊กอินใหม่ที่ดูเหมือนจะช่วยเรื่อง SEO หรือระบบล็อกอิน แต่จริงๆ แล้วมันคือมัลแวร์ที่ซ่อนตัวอยู่ในไฟล์ภาพ PNG ปลอม! เรื่องนี้ไม่ใช่แค่จินตนาการ เพราะทีม Wordfence ได้เปิดโปงแคมเปญมัลแวร์ขั้นสูงที่ใช้ชื่อว่า “SMILODON” ซึ่งเป็นผลงานของกลุ่ม Magecart Group 12 ที่ขึ้นชื่อเรื่องการขโมยข้อมูลบัตรเครดิตจากเว็บไซต์อีคอมเมิร์ซ

มัลแวร์นี้แฝงตัวมาในรูปแบบปลั๊กอินปลอมที่มีชื่อคล้ายของจริง เช่น “jwt-log-pro” หรือ “share-seo-assistant” โดยภายในประกอบด้วยไฟล์ PHP และ PNG ปลอมที่ถูกเข้ารหัสและอำพรางอย่างแนบเนียน มันสามารถหลบซ่อนจากรายการปลั๊กอินใน WordPress ได้อย่างเงียบเชียบ และยังสามารถติดตามผู้ใช้ระดับแอดมินผ่านคุกกี้พิเศษเพื่อหลบเลี่ยงการตรวจจับ

ที่น่ากลัวคือ มัลแวร์นี้สามารถดักจับข้อมูลล็อกอินและข้อมูลบัตรเครดิตของลูกค้าได้ โดยใช้ JavaScript ที่ถูกฝังไว้ในหน้าชำระเงินของ WooCommerce ซึ่งจะทำงานหลังจากโหลดหน้าไปแล้ว 3 วินาที เพื่อไม่ให้รบกวนระบบ AJAX ของเว็บไซต์ และยังมีระบบตรวจสอบปลอมเพื่อหลอกให้ผู้ใช้รู้สึกว่าการชำระเงินปลอดภัย

ข้อมูลที่ถูกขโมยจะถูกส่งไปยังเซิร์ฟเวอร์ควบคุมของแฮกเกอร์ และในบางกรณีจะถูกส่งผ่านอีเมลไปยังบัญชีที่เชื่อมโยงกับผู้ให้บริการอีเมลในรัสเซีย

นอกจากนั้น ยังมีการใช้เทคนิค steganography คือการซ่อนโค้ดไว้ในไฟล์ภาพ ซึ่งเป็นวิธีที่นิยมในหมู่แฮกเกอร์ยุคใหม่ เพราะสามารถหลบเลี่ยงระบบตรวจจับมัลแวร์ได้อย่างมีประสิทธิภาพ

การโจมตีผ่านปลั๊กอินปลอมใน WordPress
ปลั๊กอินปลอมมีชื่อคล้ายของจริง เช่น “jwt-log-pro”
ประกอบด้วยไฟล์ PHP และ PNG ปลอมที่ถูกเข้ารหัส
ซ่อนตัวจากรายการปลั๊กอินใน WordPress ได้อย่างแนบเนียน

การดักจับข้อมูลผู้ใช้และข้อมูลบัตรเครดิต
ใช้คุกกี้พิเศษติดตามผู้ใช้ระดับแอดมิน
ดักจับข้อมูลล็อกอินผ่านกระบวนการสองขั้น
ฝัง JavaScript ในหน้าชำระเงินของ WooCommerce
ส่งข้อมูลไปยังเซิร์ฟเวอร์ควบคุมของแฮกเกอร์

เทคนิคการซ่อนโค้ดในไฟล์ภาพ (Steganography)
ใช้ไฟล์ PNG ปลอมที่มีโค้ดเข้ารหัสแบบ base64
มีระบบ payload หลายชั้นเพื่อความต่อเนื่องในการโจมตี

การเชื่อมโยงกับกลุ่ม Magecart Group 12
พบโครงสร้างโค้ดและเซิร์ฟเวอร์ที่เชื่อมโยงกับกลุ่มนี้
เป็นกลุ่มที่มีประวัติการโจมตีเว็บไซต์อีคอมเมิร์ซอย่างต่อเนื่อง

https://securityonline.info/magecart-smilodon-skimmer-infiltrates-woocommerce-via-rogue-plugin-hiding-payload-in-fake-png-image/

https://www.youtube.com/watch?v=XB3SsTXtaiA
เกมทายคำศัพท์จากภาพ หมวดอาหารและเครื่องดื่ม สำหรับเด็ก | Compound Words Game For Kids
#เกมภาษาอังกฤษ #เกมทายคำ #เกมทายรูป

ช่องโหว่ CVE-2025-11833 ในปลั๊กอิน Post SMTP ทำให้เว็บไซต์ WordPress กว่า 400,000 แห่งเสี่ยงถูกยึดบัญชีผู้ดูแลระบบ!

ปลั๊กอิน Post SMTP เวอร์ชัน ≤ 3.6.0 มีช่องโหว่ Missing Authorization ที่เปิดทางให้ผู้ไม่ล็อกอินสามารถเข้าถึงอีเมลรีเซ็ตรหัสผ่านและยึดบัญชีแอดมินได้ทันที โดยไม่ต้องมีสิทธิ์ใด ๆ

ปลั๊กอิน Post SMTP ใช้กันอย่างแพร่หลายในเว็บไซต์ WordPress เพื่อจัดการการส่งอีเมลให้เชื่อถือได้ เช่น อีเมลแจ้งเตือนหรือรีเซ็ตรหัสผ่าน แต่ในเวอร์ชัน ≤ 3.6.0 มีฟังก์ชันที่เปิดให้เข้าถึง log อีเมลโดยไม่ตรวจสอบสิทธิ์ผู้ใช้

ช่องโหว่นี้ (CVE-2025-11833) มีคะแนนความรุนแรง CVSS 9.8 ซึ่งถือว่า “วิกฤต” เพราะ:
ผู้โจมตีไม่จำเป็นต้องล็อกอิน
สามารถเข้าถึงอีเมลรีเซ็ตรหัสผ่านของผู้ดูแลระบบ
คลิกลิงก์รีเซ็ตแล้วตั้งรหัสใหม่ได้ทันที
ส่งผลให้สามารถยึดเว็บไซต์ได้เต็มรูปแบบ

นักวิจัยจาก Wordfence รายงานว่ามีการโจมตีจริงแล้ว โดยบล็อกได้ 2 ครั้งใน 24 ชั่วโมงที่ผ่านมา และแนะนำให้ผู้ดูแลระบบอัปเดตปลั๊กอินเป็นเวอร์ชัน 3.6.1 โดยด่วน

รายละเอียดช่องโหว่ CVE-2025-11833
ปลั๊กอิน Post SMTP เวอร์ชัน ≤ 3.6.0 มีช่องโหว่ Missing Authorization
เปิดให้ผู้ไม่ล็อกอินเข้าถึง log อีเมล
สามารถเข้าถึงลิงก์รีเซ็ตรหัสผ่านของผู้ดูแลระบบ
คะแนน CVSS 9.8 (ระดับวิกฤต)

ผลกระทบต่อเว็บไซต์ WordPress
เสี่ยงถูกยึดบัญชีผู้ดูแลระบบ
ส่งผลให้เว็บไซต์ถูกควบคุมโดยผู้โจมตี
มีการโจมตีจริงแล้วในช่วง 24 ชั่วโมงที่ผ่านมา

วิธีป้องกันและแก้ไข
อัปเดตปลั๊กอิน Post SMTP เป็นเวอร์ชัน 3.6.1 ทันที
ตรวจสอบ log อีเมลย้อนหลังว่ามีการเข้าถึงผิดปกติหรือไม่
เปลี่ยนรหัสผ่านผู้ดูแลระบบและเปิดใช้งาน 2FA หากเป็นไปได้
ตรวจสอบสิทธิ์ของผู้ใช้ทั้งหมดในระบบ

https://securityonline.info/cve-2025-11833-cvss-9-8-critical-flaw-exposes-400000-wordpress-sites-to-unauthenticated-account-takeover/

Examples Of Every Letter Being Silent, With The Exception Of…

You probably already know that English features many, many words with silent letters—letters that appear in the word but aren’t pronounced and often make us wonder what they are even doing there. For example, the letter B in the words debt and thumb. Or whatever the heck is going on in the words colonel, queue, and bourgeoisie.

Even though you’re probably already familiar with silent letters, you might not realize just how many words in English actually use them. To demonstrate just how common these silent letters actually are, we quietly gathered up a list of as many examples of silent letters as we could find.

It should be noted that silent letters often depend on pronunciation and regional accents, which we have noted at points in our list.

Silent A words

The letter A is silent in a bunch of words that include -ea, such as bread, dread, head, thread, and spread. The letter A also remains quiet in a bunch of adverbs that end in -ically, such as basically, stoically, logically, frantically, fanatically, magically, and tragically. A few words also have a silent A at the beginning that doesn’t seem to do much of anything, such as aisle and aesthetic.

Silent B words

The letter B likes to silently follow the letter M at the end of many words, such as in dumb, plumb, crumb, thumb, numb, succumb, lamb, limb, climb, tomb, comb, bomb, and womb. The letter B also seems to also slip in silently before the letter T in words like debt, doubt, and subtle.

Silent C words

When it comes to the letter C, it seems to remain silent when it follows the letter S. There are many examples of this, such as science, scissors, scent, ascent, crescent, descent, descend, disciple, scene, obscene, fluorescent, abscess, fascinate, and muscle.

The silent C also shows up in a few other weird words such as czar, acquire, indict, and yacht. Yacht is so fancy that it even slips a silent H in there too.

Silent D words

The letter D is silent in some words that pair it up with the letter G, as in bridge, ridge, edge, ledge, and hedge. It also doesn’t have much to say in some pronunciations of the words handsome and handkerchief. Lastly, the first D in the word Wednesday seems to have taken the day off.

Silent E words

The letter E quietly resides in the middle of the word vegetable. However, there are tons and tons more silent E‘s out there. The letter E often goes unpronounced at the end of many, many words that include but are certainly not limited to the words imagine, plaque, brute, debate, excite, make, due, true, crime, grace, goose, axe, die, dye, bike, eke, pie, use, toe, cage, dude, mute, candle, and adore.

Silent F words

This one will depend on how you pronounce the word fifth, which has two common pronunciations: one in which both F‘s are pronounced and one in which the second F is not (as if it were spelled “fith”). As far as we know, this silent F pronunciation of fifth is the only example in English of a word with a silent F.

Silent G words

For whatever reason, the letter G likes to stay quiet when it is paired up with the letter N. Examples include gnaw, gnarly, gnostic, gnat, gnash, gnome, champagne, cologne, align, assign, benign, sign, feign, foreign, and reign. The letter G also often keeps quiet when it sees the letter H, as in sigh, high, sight, light, bright, night, fight, though, and thorough.

Silent H words

We have already listed quite a few words with silent Hs but there are plenty more to find. The letter H is sometimes silent when placed at the beginning of words such as hour, heir, honor, herb, homage, and honest. The letter H is silent in many words where it follows the letter C, such as anchor, archive, chaos, character, Christmas, charisma, chemical, choreography, chorus, choir, and echo. The letter H is also silent in words where it follows the letter W, as in when, where, which, why, whine, whistle, and white. Finally, the letter H doesn’t seem to be doing much at all in the words ghost and rhyme.

Silent I words

Compared to the other vowels, the letter I seems to love to be heard. We could only find a few words that feature a silent I, such as business, suit, and fruit.

Silent J words

Based on our, ahem, totally professional research, the only English word to have a silent J is … marijuana. And interestingly, it’s tough to find a language with a silent J. J just loves to be heard.

Silent K words

The letter K is silent at the beginning of lots of words where it is followed by the letter N. Some examples of this include knife, knight, knob, knock, knit, knuckle, knee, kneel, knick-knack, knowledge, know, knot, and knoll.

Silent L words

The letter L is silent in the words including should, could, would, half, calf, chalk, talk, walk, folk, and yolk. The silent L in the word salmon is also pretty fishy.

Silent M words

After looking high and low, the only words we could find with a silent M are ones that begin with mn, such as mnemonic and similarly derived terms, but maybe we just need something to help us remember others.

Silent N words

The letter N seems to be shy around the letter M as it doesn’t speak up in words like autumn, column, condemn, solemn, and hymn.

Silent O words

The letter O is silent in some words that pair it with fellow vowels E and U, such as people, jeopardy, leopard, rough, tough, enough, trouble, and double.

Silent P words

The letter P is often silent in words that pair it with the letter S, as in psalm, psyche, psychology, pseudoscience, pseudonym, and corps. It is also silent in many technical words that include the prefixes pneumato-, pneumano-, and pneumo-, such as pneumonia and pneumatic. The letter P is also silent in a few other oddball words such as raspberry, receipt, and pterodactyl.

Silent Q words

The letter Q mostly makes its presence felt whenever it appears. The word lacquer seems to be the sole example of a word with a silent Q that we could manage to find.

Silent R words

Besides the common pronunciation of the word February that leaves out the first R, the existence (or nonexistence) of silent R’s largely depends on whether you have a rhotic or non-rhotic accent. For example, a person with a non-rhotic Boston accent will likely employ several silent R’s following vowels in the sentence My sister parked her car near Harvard Yard.

Silent S words

The Silent S appears in several different words, including island, isle, aisle, apropos, debris, bourgeois, and viscount.

Silent T words

One pattern we could find for the Silent T occurs when it is paired with the letter L in words like whistle, bristle, thistle, bustle, hustle, and castle. The letter T is also silent in a lot of French loanwords such as ballet, gourmet, rapport, ricochet, buffet, crochet, valet, debut, and beret. Besides that, the silent T appears in a random assortment of other words, such as asthma, mortgage, tsunami, soften, listen, fasten, glisten, and moisten.

Silent U words

U must get nervous around G‘s because it can’t seem to say anything when it comes after them in words like guard, guide, guilt, guitar, guess, disguise, guest, guilt, guise, baguette, dialogue, monologue, league, colleague, rogue, vague, and tongue. You can also find a silent U in words like build, biscuit, circuit, and laugh.

Silent V words

We looked as hard as we could for words with a silent V, but we sadly came up empty. Some sources claim that V is the only letter in English that is never silent, and we couldn’t find any examples to prove that claim wrong. Poetic contractions like e’er and ne’er do cut it right out, though.

Silent W words

The letter W gets tongue-tied around the letter R and is often silent when placed before it in words like wrack, wrench, wreath, wrestle, wrangle, wrist, wrong, wring, wrought, write, writ, wrinkle, wraith, wrap, wrath, wretch, wreck, writhe, wry, wrapper, and playwright. A handful of other words also feature a silent W, such as answer, sword, two, and who.

Silent X words

Unless we made an embarrassing mistake, we are pretty sure the letter X is silent in the words faux and faux pas. As it is in other French-derived words, such as roux and doux and some plurals, like choux and reseaux (the plurals of chou and reseau, respectively).

Silent Y words

The letter Y is another one that depends on pronunciation to be silent. For example, one pronunciation of the word beyond [ bee-ond ] could be considered to contain a silent Y.

Silent Z Words

A handful of French loanwords have that special je ne sais quoi of a silent Z, including rendezvous and laissez-faire.

สงวนลิขสิทธิ์ © 2025 AAKKHRA & Co.

WP Freeio CVE-2025-11533: เมื่อการสมัครสมาชิกกลายเป็นช่องทางยึดเว็บ

Wordfence เตือนภัยด่วน: ช่องโหว่ WP Freeio เปิดทางให้แฮกเกอร์ยึดเว็บไซต์ WordPress ได้ทันที ปลั๊กอิน WP Freeio ถูกพบช่องโหว่ร้ายแรง CVE-2025-11533 ที่เปิดโอกาสให้ผู้โจมตีสร้างบัญชีผู้ดูแลระบบโดยไม่ต้องยืนยันตัวตน ส่งผลกระทบต่อเว็บไซต์ WordPress จำนวนมากทั่วโลก
Wordfence Threat Intelligence รายงานช่องโหว่ระดับวิกฤต (CVSS 9.8) ในปลั๊กอิน WP Freeio ซึ่งเป็นส่วนหนึ่งของธีม Freeio ที่ขายบน ThemeForest โดยช่องโหว่นี้อยู่ในฟังก์ชัน process_register() ของคลาส WP_Freeio_User ที่ใช้จัดการการสมัครสมาชิก

ปัญหาเกิดจากการที่ฟังก์ชันนี้อนุญาตให้ผู้ใช้กำหนด role ได้เองผ่านฟิลด์ $_POST['role'] โดยไม่มีการตรวจสอบ ทำให้ผู้โจมตีสามารถระบุ role เป็น “administrator” และสร้างบัญชีผู้ดูแลระบบได้ทันที

Wordfence ตรวจพบการโจมตีทันทีหลังการเปิดเผยช่องโหว่เมื่อวันที่ 10 ตุลาคม 2025 และบล็อกการโจมตีไปแล้วกว่า 33,200 ครั้ง

ตัวอย่างคำขอที่ใช้โจมตี:
POST /?wpfi-ajax=wp_freeio_ajax_register&action=wp_freeio_ajax_register
Content-Type: application/x-www-form-urlencoded
role=administrator&email=attacker@gmail.com&password=xxx&confirmpassword=xxx

เมื่อได้สิทธิ์ผู้ดูแลระบบแล้ว ผู้โจมตีสามารถ:
อัปโหลดปลั๊กอินหรือธีมที่มี backdoor
แก้ไขโพสต์หรือหน้าเว็บเพื่อ redirect ไปยังเว็บไซต์อันตราย
ฝังสแปมหรือมัลแวร์ในเนื้อหา

IP ที่พบว่ามีการโจมตีจำนวนมาก เช่น:
35.178.249.28
13.239.253.194
3.25.204.16
18.220.143.136

Wordfence แนะนำให้ผู้ดูแลระบบอัปเดต WP Freeio เป็นเวอร์ชัน 1.2.22 หรือใหม่กว่าโดยด่วน


https://securityonline.info/wordfence-warns-of-active-exploits-targeting-critical-privilege-escalation-flaw-in-wp-freeio-cve-2025-11533/

LiteSpeed Cache XSS: เมื่อปลั๊กอินเร่งเว็บกลายเป็นช่องทางโจมตี
ลองจินตนาการว่าคุณใช้ปลั๊กอิน LiteSpeed Cache เพื่อเร่งความเร็วเว็บไซต์ WordPress ของคุณ แต่กลับกลายเป็นว่ามีช่องโหว่ที่เปิดทางให้แฮกเกอร์สามารถขโมยข้อมูลผู้ใช้หรือแม้แต่ยึดเว็บไซต์ของคุณได้!

ช่องโหว่นี้มีชื่อว่า CVE-2025-12450 เป็นประเภท Reflected Cross-Site Scripting (XSS) ซึ่งหมายความว่าแฮกเกอร์สามารถสร้างลิงก์พิเศษที่เมื่อเหยื่อคลิกเข้าไป จะทำให้สคริปต์อันตรายถูกส่งกลับจากเซิร์ฟเวอร์ของเว็บไซต์และรันในเบราว์เซอร์ของเหยื่อทันที โดยเบราว์เซอร์จะเข้าใจผิดว่าสคริปต์นั้นมาจากแหล่งที่เชื่อถือได้

ผลลัพธ์คือ:
แฮกเกอร์สามารถขโมย session cookies
เข้าถึงข้อมูลผู้ใช้
เปลี่ยนเส้นทางไปยังเว็บไซต์ฟิชชิ่ง
หรือแม้แต่สร้างบัญชีผู้ดูแลระบบใหม่โดยไม่ได้รับอนุญาต

ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยจาก Trustwave และมีผลกระทบต่อ ทุกเวอร์ชันของปลั๊กอิน LiteSpeed Cache จนถึงเวอร์ชัน 7.5.0.1 โดยเวอร์ชันที่ได้รับการแก้ไขคือ 7.6 ขึ้นไป

ช่องโหว่ CVE-2025-12450 ถูกค้นพบในปลั๊กอิน LiteSpeed Cache
เป็นช่องโหว่ประเภท Reflected XSS ที่สามารถโจมตีผ่านลิงก์พิเศษ
กระทบเว็บไซต์ WordPress กว่า 7 ล้านแห่งทั่วโลก
ผู้โจมตีสามารถขโมยข้อมูลหรือยึดเว็บไซต์ได้
เวอร์ชันที่ได้รับผลกระทบคือ 7.5.0.1 และก่อนหน้า
เวอร์ชันที่ปลอดภัยคือ 7.6 ขึ้นไป
ช่องโหว่นี้ถูกค้นพบโดย Trustwave และรายงานอย่างรับผิดชอบ

ผู้ดูแลเว็บไซต์ที่ยังไม่ได้อัปเดตปลั๊กอินมีความเสี่ยงสูง
อาจถูกขโมย session cookies และข้อมูลผู้ใช้
อาจถูก redirect ไปยังเว็บไซต์ฟิชชิ่ง
อาจถูกสร้างบัญชีผู้ดูแลระบบใหม่โดยไม่ได้รับอนุญาต
การโจมตีสามารถเกิดขึ้นได้ง่ายเพียงแค่คลิกลิงก์

https://securityonline.info/litespeed-cache-flaw-cve-2025-12450-7-million-wordpress-sites-exposed-to-xss-attack/

RedTiger: มัลแวร์ใหม่โจมตีผู้ใช้ Discord — ขโมยข้อมูล, ถ่ายภาพจากเว็บแคม และหลบเลี่ยงการตรวจจับอย่างแนบเนียน

RedTiger คือมัลแวร์สาย infostealer ที่ถูกสร้างขึ้นจากเครื่องมือ Python แบบโอเพ่นซอร์ส โดยถูกนำมาใช้โจมตีผู้ใช้ Discord โดยเฉพาะกลุ่มเกมเมอร์ในฝรั่งเศส — มันสามารถขโมยข้อมูลบัญชี, ข้อมูลการชำระเงิน, ไฟล์เกม, กระเป๋าคริปโต และแม้แต่ภาพจากเว็บแคมของเหยื่อ

ขโมยข้อมูลจาก Discord และเบราว์เซอร์
ดึง token, username, email, MFA settings และระดับการสมัครสมาชิก
ขโมยข้อมูลบัตรเครดิตและ PayPal ที่บันทึกไว้ใน Discord
ดึงข้อมูลจาก browser เช่น password, payment info และ cookies

แอบถ่ายภาพจากเว็บแคมและจับภาพหน้าจอ
ใช้ฟังก์ชันในระบบเพื่อถ่ายภาพโดยไม่ให้เหยื่อรู้ตัว
บันทึกภาพหน้าจอและส่งไปยังเซิร์ฟเวอร์ของผู้โจมตี

ขโมยไฟล์เกมและกระเป๋าคริปโต
เจาะเข้าไปในไฟล์ของ Steam, Epic Games, Roblox
ดึงข้อมูลจาก wallet เช่น Exodus, Binance, Atomic Wallet

ส่งข้อมูลผ่าน Discord webhook และ GoFile
อัปโหลดข้อมูลทั้งหมดไปยัง GoFile แล้วแจ้งผู้โจมตีผ่าน webhook
ส่งข้อมูล IP, hostname และประเทศของเหยื่อ

มีระบบหลบเลี่ยงการตรวจจับและสร้างความสับสนให้ forensic tools
ปิดตัวเองทันทีหากพบ debugger หรือ forensic environment
สร้างไฟล์สุ่ม 100 ไฟล์และเปิดโปรแกรม 400 ตัวเพื่อเบี่ยงเบนการวิเคราะห์

มีระบบ persistence บน Windows, Linux และ macOS
บน Windows จะเพิ่ม payload ใน startup folder เพื่อรันอัตโนมัติ
บน Linux/macOS ยังไม่สมบูรณ์ แต่มีการเตรียมไฟล์ไว้

https://hackread.com/redtiger-malware-discord-tokens-webcam-images/

Google Gemini Canvas เพิ่มฟีเจอร์สร้างสไลด์อัตโนมัติ — แค่พิมพ์หรืออัปโหลดไฟล์ ก็ได้พรีเซนต์พร้อมใช้ทันที

Google เปิดตัวฟีเจอร์ใหม่ใน Gemini Canvas ที่สามารถสร้างสไลด์พรีเซนเทชันได้อัตโนมัติจากข้อความหรือไฟล์ที่ผู้ใช้ให้มา โดยไม่ต้องใช้ PowerPoint หรือ Google Slides ตั้งแต่ต้นอีกต่อไป ฟีเจอร์นี้ออกแบบมาเพื่อช่วยนักเรียนและมืออาชีพให้ทำงานนำเสนอได้เร็วขึ้นและดูดีขึ้น

Gemini Canvas เป็นพื้นที่ทำงานแบบอินเทอร์แอคทีฟที่เปิดตัวเมื่อเดือนมีนาคม 2025 โดยให้ผู้ใช้สามารถวางข้อความยาวหรือโค้ดเพื่อให้ Gemini ช่วยแก้ไขหรือปรับแต่งได้ทันที ล่าสุด Google เพิ่มฟีเจอร์ “Instant Slides” ที่ให้ผู้ใช้สร้างสไลด์พรีเซนต์ได้ง่าย ๆ ด้วย 2 วิธี:

1️⃣ พิมพ์คำสั่ง เช่น “สร้างพรีเซนต์เรื่องการท่องเที่ยวในอังกฤษ” แล้ว Gemini จะสร้างสไลด์พร้อมภาพและธีมให้ทันที 2️⃣ อัปโหลดไฟล์ เช่น เอกสาร Word, Excel หรือ PDF แล้วให้ Gemini สร้างสไลด์จากเนื้อหาในไฟล์นั้น

หลังจากสร้างสไลด์แล้ว ผู้ใช้สามารถส่งออกไปยัง Google Slides เพื่อแก้ไขเพิ่มเติมหรือแชร์กับทีมได้ทันที

ฟีเจอร์นี้จะทยอยเปิดให้ใช้งานในบัญชี Google ส่วนตัวและ Google Workspace ทั้งภาคธุรกิจและการศึกษา เริ่มตั้งแต่วันนี้

นอกจากนี้ Gemini ยังอัปเดตฟีเจอร์อื่น ๆ เช่น:

Veo 3.1 สำหรับสร้างวิดีโอคุณภาพสูง
Gemini 2.5 Flash ที่ให้คำแนะนำแบบละเอียด
การแสดงผล LaTeX ที่ดีขึ้น
Gemini บน Google TV ที่ช่วยค้นหารายการด้วยเสียง

ฟีเจอร์ Instant Slides ใน Gemini Canvas
สร้างสไลด์จากข้อความหรือไฟล์ที่อัปโหลด
มีภาพประกอบและธีมอัตโนมัติ
ส่งออกไปยัง Google Slides ได้ทันที

วิธีใช้งาน
พิมพ์คำสั่ง เช่น “สร้างพรีเซนต์เรื่อง…”
อัปโหลดไฟล์เอกสารหรือข้อมูลเพื่อให้ Gemini สร้างสไลด์

การเปิดใช้งาน
เริ่มทยอยเปิดให้ใช้ในบัญชี Google ส่วนตัวและ Workspace
รองรับทั้งภาคธุรกิจและการศึกษา

ฟีเจอร์อื่นที่อัปเดตใน Gemini
Veo 3.1 สำหรับสร้างวิดีโอคุณภาพสูง
Gemini 2.5 Flash ให้คำแนะนำแบบละเอียด
รองรับ LaTeX และ PDF ที่สวยงาม
Gemini บน Google TV ช่วยค้นหารายการด้วยเสียง

https://securityonline.info/instant-slides-google-gemini-canvas-can-now-auto-generate-presentations/

หัวข้อข่าว: “ภัยร้ายจากปลั๊กอิน WordPress กลับมาอีกครั้ง – กว่า 8.7 ล้านครั้งโจมตีผ่าน GutenKit และ Hunk

ลองจินตนาการว่าคุณเป็นผู้ดูแลเว็บไซต์ WordPress ที่ใช้งานปลั๊กอินยอดนิยมอย่าง GutenKit หรือ Hunk Companion อยู่ดี ๆ วันหนึ่งเว็บไซต์ของคุณถูกแฮกโดยไม่รู้ตัว เพราะมีช่องโหว่ที่เปิดให้ผู้ไม่หวังดีสามารถติดตั้งปลั๊กอินอันตรายจากภายนอกได้โดยไม่ต้องยืนยันตัวตนเลยแม้แต่น้อย...

นี่คือสิ่งที่เกิดขึ้นจริงในเดือนตุลาคม 2025 เมื่อ Wordfence ทีมผู้เชี่ยวชาญด้านความปลอดภัยออกมาเตือนถึงการกลับมาของการโจมตีครั้งใหญ่ที่เคยเกิดขึ้นเมื่อปีก่อน โดยมีการโจมตีมากกว่า 8.7 ล้านครั้งผ่านช่องโหว่ในปลั๊กอิน GutenKit และ Hunk Companion ซึ่งมีผู้ใช้งานรวมกันกว่า 48,000 เว็บไซต์ทั่วโลก

ช่องโหว่เหล่านี้เปิดให้ผู้โจมตีสามารถส่งคำสั่งผ่าน REST API ที่ไม่มีการตรวจสอบสิทธิ์ ทำให้สามารถติดตั้งปลั๊กอินจากภายนอกที่แฝงมัลแวร์ได้ทันที โดยปลั๊กอินปลอมเหล่านี้มักมีชื่อดูไม่น่าสงสัย เช่น “background-image-cropper” หรือ “ultra-seo-processor-wp” แต่ภายในกลับเต็มไปด้วยโค้ดอันตรายที่สามารถเปิดช่องให้แฮกเกอร์ควบคุมเว็บไซต์จากระยะไกลได้

ที่น่ากลัวกว่านั้นคือ ผู้โจมตีใช้บอตเน็ตจากเซิร์ฟเวอร์ที่ถูกแฮกแล้วในการโจมตีแบบอัตโนมัติทั่วโลก และยังมีการใช้ปลั๊กอินอื่นที่มีช่องโหว่เพื่อเชื่อมโยงการโจมตีให้ลึกขึ้น เช่น wp-query-console ที่ยังไม่มีการอุดช่องโหว่

นอกจากการอัปเดตปลั๊กอินให้เป็นเวอร์ชันล่าสุดแล้ว ผู้ดูแลเว็บไซต์ควรตรวจสอบไฟล์ที่ไม่รู้จักในโฟลเดอร์ปลั๊กอิน และบล็อก IP ที่มีพฤติกรรมต้องสงสัยทันที เพื่อป้องกันการโจมตีซ้ำ

ช่องโหว่ปลั๊กอิน WordPress GutenKit และ Hunk Companion
ช่องโหว่ CVE-2024-9234, CVE-2024-9707, CVE-2024-11972 มีคะแนน CVSS 9.8
เปิดให้ติดตั้งปลั๊กอินจากภายนอกโดยไม่ต้องยืนยันตัวตน
GutenKit มีผู้ใช้งานกว่า 40,000 เว็บไซต์, Hunk Companion กว่า 8,000 เว็บไซต์

การโจมตีที่เกิดขึ้น
เริ่มกลับมาอีกครั้งในเดือนตุลาคม 2025
Wordfence บล็อกการโจมตีไปแล้วกว่า 8.7 ล้านครั้ง
ใช้บอตเน็ตจากเซิร์ฟเวอร์ที่ถูกแฮกในการโจมตีแบบอัตโนมัติ

ตัวอย่างปลั๊กอินปลอมที่พบ
background-image-cropper
ultra-seo-processor-wp
oke, up

วิธีการโจมตี
ส่ง POST request ไปยัง REST API ที่ไม่มีการตรวจสอบสิทธิ์
ใช้ ZIP file ที่แฝงโค้ด PHP อันตราย เช่น vv.php
โค้ดมีความสามารถในการเปิด terminal, ดักข้อมูล, เปลี่ยนสิทธิ์ไฟล์

แนวทางป้องกัน
อัปเดต GutenKit เป็นเวอร์ชัน ≥ 2.1.1 และ Hunk Companion ≥ 1.9.0
ตรวจสอบโฟลเดอร์ /wp-content/plugins/ และ /wp-content/upgrade/
ตรวจสอบ access logs สำหรับ endpoint ที่น่าสงสัย
บล็อก IP ที่มีพฤติกรรมโจมตี

https://securityonline.info/critical-wordpress-rce-flaws-resurface-over-8-7-million-attacks-exploit-gutenkit-hunk-companion/

How To Refer To Little People: The Terms To Know

Most people are familiar with the use of the term little people in reference to people who have dwarfism—people whose short stature is the result of a medical or genetic condition. But it’s not the only term.

In this article, we’ll note the range of terms and preferences and explain some of the notable reasons behind these preferences.

Content warning: The end of this article includes an explicit mention of an offensive slur. As part of our mission to educate about words and their impact on people, we believe it is important to include information about this word, especially since some people may be unaware that it is considered offensive.

What is dwarfism?

An important aspect of understanding dwarfism is understanding that dwarfism is a general term and doesn’t refer to one specific medical condition that causes short stature. Instead, the term is used to refer to shortness of stature that can be caused by many different medical or genetic conditions.

Generally, an adult is considered to have dwarfism if they have a height measured at 4 feet 10 inches or lower.

What causes dwarfism?

The most common cause of dwarfism is achondroplasia, a condition that impairs the growth of bones and causes an atypical skeletal structure, especially in the limbs. While this condition can be inherited, it is often caused by genetic mutations. This means that parents who do not have achondroplasia can have children who do, and parents who do have achondroplasia can have children who don’t.
What do people with dwarfism prefer to be called?

First, remember that discussing a condition or physical difference is in many cases unnecessary. Most of the time, the first thing you should ask a person is their name.

Of course, it is sometimes necessary and important to use generally identifying terms, such as when discussing accessibility in the workplace or a person’s membership in a community. And whenever such things are being discussed, it’s important to use the terms that people themselves prefer when referring to themselves and being referred to.

Because preferences vary widely, the best approach is always to ask. Preferences may also overlap—some people may use certain terms interchangeably or be OK with multiple terms.

Here are some of the most common and widely accepted terms.

dwarf and person with dwarfism

Some people with dwarfism prefer to be referred to—and to refer to themselves—with the standalone term dwarf. In contrast, some people prefer the term person with dwarfism, an example of what’s called person-first language, which is terminology that places the person before a mention of a specific characteristic (usually literally using the word person or the plural people as the first words in an identifying phrase). Preferring to be referred to as a dwarf is an example of what’s called identity-first language, which places emphasis on a characteristic that a person considers an inherent part of their identity.

Both terms are considered catch-all terms that encompass all medical and genetic causes of dwarfism. Both versions are also commonly used in the medical community when discussing dwarfism.

While organizations within the community often use such terms in discussing their members and those they advocate for, such terms are not commonly used in names of such organizations (though there are exceptions).

It’s important to note that some people may not be comfortable using either term for a variety of reasons. One reason is that they may consider them as too technical outside of a medical context. Furthermore, some people may prefer to avoid the word dwarf’s associations with characters in folklore and pop culture (which in many cases have had the effect of demeaning people of short stature).

little person, little people

Out of all of the terms that refer to people with dwarfism, the straightforward little person (and its plural little people) is now likely the most common and the one most people are familiar with.

Around the world, many organizations focused on people with dwarfism use the term little people in their name and in their communications, including Little People of America, Little People UK, and Little People of British Columbia.

The increase in the awareness of this terminology is often attributed in part to the high visibility of such terms in notable aspects of pop culture, such as the title of the long-running TV series Little People, Big World.

Although such terms are now widely used and preferred, keep in mind that personal preferences vary.

person of short stature and short-statured person

Although less common, the terms person of short stature and short-statured person (sometimes unhyphenated as short statured) are also used (along with their plural forms that use people). Preferences around person-first or identity-first constructions also apply in this case.

These phrases are used by groups and organizations focused on little people, often interchangeably with previously mentioned options. They are sometimes also used in the names of such organizations, such as Short Statured People of Australia and Short Stature Scotland.

Which term should I use?

Remember that specifying whether or not a person has dwarfism is often completely unnecessary. See the person first—and don’t assume that their size defines them. Most of the time, the first thing you should ask a person is their name.

In cases when it’s important to identify someone as being short in stature in the ways we’ve discussed here, all of the terms we’ve listed can be suitable. Many are often used interchangeably. Little person and little people are the most common. But no preference is universal, so be sure to respect a person’s preferences.

Offensive terms

Although preferences vary around the terms that have been discussed thus far, there are some terms that should never be used. Notably, one term considered extremely offensive is the disparaging word midget. Like other slurs, its explicit mention is often avoided in discussions about the term by instead using the phrase the M word. (We feel it is important to explicitly state it here so as to leave no confusion about which word we’re referring to.)

Though the term once came to be used by some as a way to distinguish various forms of dwarfism, members of the community and advocacy organizations now note that its history is rooted in demeaning usage—and that it should be avoided altogether.

That push for avoidance and elimination of use also extends to contexts in which the term has traditionally been applied not to people but to things in reference to their small size (such as certain types of racing cars, as one example).

สงวนลิขสิทธิ์ © 2025 AAKKHRA & Co.

Shadow Escape: ช่องโหว่ใหม่ใน AI Assistant เสี่ยงทำข้อมูลผู้ใช้รั่วไหลมหาศาล

นักวิจัยจาก Operant AI ได้เปิดเผยการโจมตีแบบใหม่ที่เรียกว่า “Shadow Escape” ซึ่งเป็นการโจมตีแบบ “zero-click” ที่สามารถขโมยข้อมูลส่วนตัวของผู้ใช้ผ่าน AI Assistant โดยไม่ต้องให้ผู้ใช้คลิกหรือตอบสนองใดๆ เลย จุดอ่อนนี้เกิดจากการใช้มาตรฐาน Model Context Protocol (MCP) ที่ช่วยให้ AI อย่าง ChatGPT, Gemini และ Claude เชื่อมต่อกับระบบภายในขององค์กร เช่น ฐานข้อมูลหรือ API ต่างๆ

สิ่งที่น่ากังวลคือ Shadow Escape สามารถซ่อนคำสั่งอันตรายไว้ในไฟล์ธรรมดา เช่น คู่มือพนักงานหรือ PDF ที่ดูไม่มีพิษภัย เมื่อพนักงานอัปโหลดไฟล์เหล่านี้ให้ AI ช่วยสรุปหรือวิเคราะห์ คำสั่งที่ซ่อนอยู่จะสั่งให้ AI ดึงข้อมูลส่วนตัวของลูกค้า เช่น หมายเลขประกันสังคม (SSN), ข้อมูลการเงิน, หรือเวชระเบียน แล้วส่งออกไปยังเซิร์ฟเวอร์ของผู้ไม่หวังดี โดยที่ระบบความปลอดภัยทั่วไปไม่สามารถตรวจจับได้ เพราะการเข้าถึงข้อมูลเกิดขึ้นภายในระบบที่ได้รับอนุญาตอยู่แล้ว

1️⃣ ลักษณะของการโจมตี
จุดเริ่มต้นของการโจมตี
ใช้ไฟล์ธรรมดา เช่น PDF หรือเอกสาร Word ที่ฝังคำสั่งลับ
พนักงานอัปโหลดไฟล์ให้ AI ช่วยสรุปหรือวิเคราะห์
คำสั่งลับจะสั่งให้ AI ดึงข้อมูลจากระบบภายใน

จุดอ่อนที่ถูกใช้
มาตรฐาน Model Context Protocol (MCP) ที่เชื่อม AI กับระบบองค์กร
การตั้งค่า permission ของ MCP ที่ไม่รัดกุม
AI มีสิทธิ์เข้าถึงข้อมูลโดยตรง จึงไม่ถูกระบบรักษาความปลอดภัยภายนอกตรวจจับ

2️⃣ ข้อมูลที่ตกอยู่ในความเสี่ยง
ประเภทของข้อมูลที่อาจรั่วไหล
หมายเลขประกันสังคม (SSN)
ข้อมูลบัตรเครดิตและบัญชีธนาคาร
เวชระเบียนและข้อมูลสุขภาพ
ชื่อ ที่อยู่ และข้อมูลส่วนตัวของลูกค้า

คำเตือน
การรั่วไหลอาจเกิดขึ้นโดยที่พนักงานไม่รู้ตัว
ข้อมูลอาจถูกส่งออกไปยังเซิร์ฟเวอร์ของผู้โจมตีโดยไม่มีการแจ้งเตือน

3️⃣ ทำไมระบบความปลอดภัยทั่วไปจึงไม่สามารถป้องกันได้
ลักษณะของการโจมตีแบบ “zero-click”
ไม่ต้องการให้ผู้ใช้คลิกลิงก์หรือทำอะไร
ใช้ AI ที่มีสิทธิ์เข้าถึงข้อมูลเป็นเครื่องมือในการขโมยข้อมูล
การส่งข้อมูลออกถูกพรางให้ดูเหมือนเป็นการทำงานปกติของระบบ

คำเตือน
ระบบ firewall และระบบตรวจจับภัยคุกคามทั่วไปไม่สามารถแยกแยะพฤติกรรมนี้ได้
การใช้ AI โดยไม่มีการควบคุมสิทธิ์อย่างเข้มงวด อาจกลายเป็นช่องโหว่ร้ายแรง

4️⃣ ข้อเสนอแนะจากนักวิจัย
แนวทางป้องกัน
ตรวจสอบและจำกัดสิทธิ์ของ AI Assistant ในการเข้าถึงข้อมูล
ปรับแต่ง permission ของ MCP ให้เหมาะสมกับระดับความเสี่ยง
ตรวจสอบไฟล์ที่อัปโหลดเข้าระบบอย่างละเอียดก่อนให้ AI ประมวลผล

คำเตือน
องค์กรที่ใช้ AI Assistant โดยไม่ตรวจสอบการตั้งค่า MCP อาจตกเป็นเหยื่อได้ง่าย
การละเลยการ audit ระบบ AI อาจนำไปสู่การรั่วไหลของข้อมูลระดับ “หลายล้านล้านรายการ”

https://hackread.com/shadow-escape-0-click-attack-ai-assistants-risk/

AI Sidebar Spoofing: SquareX เตือนภัยส่วนขยายปลอมที่แอบอ้างเป็น Sidebar ของ AI Browser

SquareX บริษัทด้านความปลอดภัยเบราว์เซอร์ ได้เปิดเผยการโจมตีรูปแบบใหม่ที่เรียกว่า “AI Sidebar Spoofing” ซึ่งใช้ส่วนขยายเบราว์เซอร์ที่เป็นอันตรายในการปลอมแปลงหน้าต่าง Sidebar ของ AI browser เช่น Comet, Brave, Edge และ Firefox เพื่อหลอกผู้ใช้ให้ทำตามคำสั่งที่เป็นอันตรายโดยเข้าใจผิดว่าเป็นคำแนะนำจาก AI จริง

การโจมตีนี้อาศัยความไว้วางใจของผู้ใช้ที่มีต่อ AI browser ซึ่งมักใช้ Sidebar เป็นช่องทางหลักในการโต้ตอบกับ AI โดยผู้โจมตีจะสร้างส่วนขยายที่สามารถแสดง Sidebar ปลอมได้อย่างแนบเนียน เมื่อผู้ใช้พิมพ์คำถามหรือขอคำแนะนำ Sidebar ปลอมจะตอบกลับด้วยคำแนะนำที่แฝงคำสั่งอันตราย เช่น ลิงก์ฟิชชิ่ง, คำสั่ง reverse shell หรือ OAuth phishing

SquareX ยกตัวอย่างกรณีศึกษาหลายกรณี เช่น การหลอกให้ผู้ใช้เข้าสู่เว็บไซต์ Binance ปลอมเพื่อขโมยคริปโต, การแนะนำเว็บไซต์แชร์ไฟล์ที่เป็น OAuth trap เพื่อเข้าถึง Gmail และ Google Drive, หรือการแนะนำคำสั่งติดตั้ง Homebrew ที่แฝง reverse shell เพื่อยึดเครื่องของเหยื่อ

ที่น่ากังวลคือ ส่วนขยายเหล่านี้ใช้สิทธิ์พื้นฐานที่พบได้ทั่วไปในส่วนขยายยอดนิยม เช่น Grammarly หรือ password manager ทำให้ยากต่อการตรวจจับ และสามารถทำงานได้บนเบราว์เซอร์ทุกชนิดที่มี Sidebar AI โดยไม่จำกัดเฉพาะ AI browser

ลักษณะของการโจมตี AI Sidebar Spoofing
ใช้ส่วนขยายเบราว์เซอร์ปลอมแปลง Sidebar ของ AI browser
หลอกผู้ใช้ให้ทำตามคำสั่งที่เป็นอันตรายโดยเข้าใจผิดว่าเป็นคำแนะนำจาก AI
สามารถทำงานได้บนเบราว์เซอร์ทั่วไปที่มี Sidebar AI เช่น Edge, Brave, Firefox

ตัวอย่างการโจมตี
ลิงก์ฟิชชิ่งปลอมเป็น Binance เพื่อขโมยคริปโต
OAuth phishing ผ่านเว็บไซต์แชร์ไฟล์ปลอม
reverse shell แฝงในคำสั่งติดตั้ง Homebrew

จุดอ่อนของระบบ
ส่วนขยายใช้สิทธิ์พื้นฐานที่พบได้ทั่วไป ทำให้ยากต่อการตรวจจับ
ไม่มีความแตกต่างด้านภาพหรือการทำงานระหว่าง Sidebar จริงกับ Sidebar ปลอม
ส่วนขยายสามารถแฝงตัวและรอจังหวะที่เหมาะสมในการโจมตี

การป้องกันจาก SquareX
เสนอเครื่องมือ Browser Detection and Response (BDR)
มีระบบตรวจจับและวิเคราะห์พฤติกรรมส่วนขยายแบบ runtime
เสนอการตรวจสอบส่วนขยายทั้งองค์กรฟรี

คำเตือนสำหรับผู้ใช้งานเบราว์เซอร์ที่มี AI Sidebar
อย่าติดตั้งส่วนขยายจากแหล่งที่ไม่เชื่อถือ
อย่าทำตามคำแนะนำจาก Sidebar โดยไม่ตรวจสอบความถูกต้อง
ระวังคำสั่งที่เกี่ยวข้องกับการเข้าสู่ระบบ, การติดตั้งโปรแกรม หรือการแชร์ข้อมูล

คำแนะนำเพิ่มเติม
ใช้เบราว์เซอร์ที่มีระบบตรวจสอบส่วนขยายแบบละเอียด
ตรวจสอบสิทธิ์ของส่วนขยายก่อนติดตั้ง
อัปเดตเบราว์เซอร์และส่วนขยายให้เป็นเวอร์ชันล่าสุดเสมอ

https://securityonline.info/ai-sidebar-spoofing-attack-squarex-uncovers-malicious-extensions-that-impersonate-ai-browser-sidebars/

“แฮกเกอร์ใช้ช่องโหว่ OAuth เจาะระบบคลาวด์ – เปลี่ยนรหัสผ่านก็ไม่ช่วย!”

นักวิจัยจาก Proofpoint ออกมาเตือนว่า ตอนนี้แฮกเกอร์กำลังใช้ช่องโหว่ในระบบ OAuth เพื่อเจาะเข้าระบบคลาวด์ขององค์กรต่าง ๆ และที่น่ากลัวคือ แม้จะเปลี่ยนรหัสผ่านหรือเปิดใช้ MFA (Multi-Factor Authentication) ก็ยังไม่สามารถไล่แฮกเกอร์ออกจากระบบได้!

วิธีการคือ แฮกเกอร์จะใช้บัญชีที่ถูกเจาะเข้าไปสร้างแอปภายในที่มีสิทธิ์เข้าถึงข้อมูลต่าง ๆ เช่น ไฟล์ อีเมล หรือระบบสื่อสาร แล้วอนุมัติแอปนั้นให้ทำงานได้อย่างถาวร แม้บัญชีผู้ใช้จะถูกเปลี่ยนรหัสหรือปิดการใช้งาน แอปที่ถูกสร้างไว้ก็ยังคงทำงานอยู่ ทำให้แฮกเกอร์สามารถเข้าถึงระบบได้ต่อเนื่อง

มีกรณีตัวอย่างที่นักวิจัยพบว่า หลังจากผู้ใช้เปลี่ยนรหัสผ่านแล้ว ยังมีการพยายามล็อกอินจาก IP ในไนจีเรีย ซึ่งคาดว่าเป็นต้นทางของแฮกเกอร์ แต่แอปที่ถูกสร้างไว้ยังคงทำงานได้ตามปกติ

ช่องโหว่นี้ไม่ใช่แค่ทฤษฎี เพราะมีการใช้งานจริงแล้วในหลายกรณี และอาจนำไปสู่การขโมยข้อมูล การแฝงตัวในระบบ และการโจมตีต่อเนื่องแบบเงียบ ๆ โดยที่องค์กรไม่รู้ตัว

วิธีการโจมตีผ่าน OAuth
แฮกเกอร์ใช้บัญชีที่ถูกเจาะสร้างแอปภายในที่มีสิทธิ์เข้าถึงข้อมูล
แอปได้รับการอนุมัติให้ทำงานอย่างถาวร
แม้เปลี่ยนรหัสผ่านหรือเปิด MFA แอปยังคงทำงานได้
แอปสามารถเข้าถึงไฟล์ อีเมล และระบบสื่อสารภายใน
เป็นการโจมตีแบบ “Adversary-in-the-middle” ที่แฝงตัวในระบบ

กรณีตัวอย่างจาก Proofpoint
พบการล็อกอินจาก IP ในไนจีเรียหลังเปลี่ยนรหัสผ่าน
แอปยังคงทำงานได้แม้บัญชีถูกเปลี่ยน
เป็นการโจมตีที่เกิดขึ้นจริง ไม่ใช่แค่ทฤษฎี
นักวิจัยสร้างเครื่องมือจำลองการโจมตีเพื่อศึกษารูปแบบ

แนวทางป้องกันและคำแนะนำ
ต้องตรวจสอบสิทธิ์ของแอปภายในอย่างสม่ำเสมอ
ควรมีระบบตรวจสอบและแจ้งเตือนเมื่อมีการสร้างแอปใหม่
การลบสิทธิ์ของแอปเป็นวิธีเดียวที่จะหยุดการเข้าถึง
แอปที่ได้รับสิทธิ์จะมี credential ที่ใช้ได้นานถึง 2 ปี

https://www.techradar.com/pro/security/hackers-are-exploiting-oauth-loophole-for-persistent-access-and-resetting-your-password-wont-save-you

“Microsoft Publisher จะสิ้นสุดการสนับสนุนในเดือนตุลาคม 2026 — ปิดตำนานเครื่องมือออกแบบยุค 90” — เมื่อแอปสร้างใบปลิวและจดหมายข่าวที่เคยอยู่ในทุกบ้านกำลังจะอำลาอย่างถาวร

Microsoft ประกาศว่าจะยุติการสนับสนุนแอป Publisher อย่างเป็นทางการในเดือนตุลาคม 2026 ซึ่งตรงกับวันหมดอายุของ Office LTSC 2021 โดยหลังจากวันนั้น Publisher จะถูกถอดออกจาก Microsoft 365 และไม่สามารถติดตั้งหรือเปิดไฟล์ .pub ได้อีกต่อไปในเวอร์ชันใหม่

Publisher เปิดตัวครั้งแรกในปี 1991 เพื่อให้ผู้ใช้ทั่วไปสามารถออกแบบสิ่งพิมพ์ เช่น ใบปลิว, โบรชัวร์, จดหมายข่าว โดยไม่ต้องใช้โปรแกรมระดับมืออาชีพอย่าง QuarkXPress หรือ Adobe InDesign ด้วยราคาที่เข้าถึงได้และการใช้งานง่าย ทำให้ Publisher กลายเป็นเครื่องมือยอดนิยมในโรงเรียน, ธุรกิจขนาดเล็ก และผู้ใช้ตามบ้าน

แม้จะไม่เคยครองใจนักออกแบบมืออาชีพ แต่ Publisher ก็มีบทบาทสำคัญในการ “ประชาธิปไตยด้านการออกแบบ” โดยเปิดโอกาสให้ทุกคนสามารถสร้างสื่อสิ่งพิมพ์ได้ด้วยตัวเอง

หลังจากการยุติการสนับสนุน Microsoft แนะนำให้ผู้ใช้แปลงไฟล์ .pub เป็น PDF เพื่อเก็บไว้ดู และหากต้องการแก้ไข ให้เปิด PDF ใน Word — แม้ว่าการจัดวางอาจเพี้ยน โดยเฉพาะไฟล์ที่มีกราฟิกจำนวนมาก

สำหรับผู้ใช้ที่ต้องการทางเลือกใหม่ Microsoft แนะนำให้ใช้ Word, PowerPoint หรือแอป Designer แทน ส่วนทางเลือกจากภายนอกก็มีเช่น:

Canva — ใช้งานง่าย มีเทมเพลตหลากหลาย แต่ฟีเจอร์เต็มต้องสมัครสมาชิก
LibreOffice Draw — ฟรีและโอเพ่นซอร์ส รองรับไฟล์ .pub ได้พอสมควร
Affinity Publisher 2 — ซื้อครั้งเดียว ไม่มีรายเดือน เหมาะกับผู้ใช้จริงจัง

Microsoft Publisher จะสิ้นสุดการสนับสนุนในเดือนตุลาคม 2026
ตรงกับวันหมดอายุของ Office LTSC 2021

Publisher จะถูกถอดออกจาก Microsoft 365
ไม่สามารถติดตั้งหรือเปิดไฟล์ .pub ได้อีก

Publisher เปิดตัวในปี 1991 และรวมอยู่ใน Office ตั้งแต่เวอร์ชัน 97
เคยเป็นเครื่องมือออกแบบยอดนิยมสำหรับผู้ใช้ทั่วไป

Microsoft แนะนำให้แปลงไฟล์ .pub เป็น PDF เพื่อเก็บไว้ดู
และเปิด PDF ใน Word หากต้องการแก้ไข

ทางเลือกใหม่จาก Microsoft ได้แก่ Word, PowerPoint และ Designer
ใช้แทน Publisher สำหรับงานออกแบบทั่วไป

ทางเลือกจากภายนอก ได้แก่ Canva, LibreOffice Draw, Affinity Publisher 2
มีทั้งแบบฟรีและเสียเงินตามระดับความสามารถ

https://www.slashgear.com/2001386/microsoft-ending-publisher-in-october-2026/

“UNC5142 ใช้ EtherHiding บน BNB Smart Chain เพื่อแพร่มัลแวร์ — เมื่อบล็อกเชนกลายเป็นเครื่องมืออาชญากรรมไซเบอร์” — จาก WordPress สู่ Smart Contract: การโจมตีที่ล่องหนและยากจะหยุด

รายงานร่วมจาก Mandiant และ Google Threat Intelligence Group (GTIG) เปิดเผยการโจมตีไซเบอร์รูปแบบใหม่โดยกลุ่ม UNC5142 ซึ่งใช้เทคนิค “EtherHiding” บน BNB Smart Chain เพื่อซ่อนและส่งมัลแวร์ผ่าน smart contracts โดยไม่ต้องใช้เซิร์ฟเวอร์แบบเดิม

แทนที่จะโฮสต์มัลแวร์บนโดเมนหรือ IP ที่สามารถถูกบล็อกได้ UNC5142 ฝัง payload ไว้ใน smart contract ที่อยู่บนบล็อกเชน ซึ่งมีคุณสมบัติ “เปลี่ยนไม่ได้” และ “ลบไม่ได้” ทำให้การตรวจจับและการลบแทบเป็นไปไม่ได้

มัลแวร์เริ่มต้นจากการฝัง JavaScript บนเว็บไซต์ WordPress ที่ถูกเจาะ ซึ่งโหลดตัวดาวน์โหลดชื่อ CLEARSHORT — ตัวนี้จะเชื่อมต่อกับ BNB Smart Chain ผ่าน Web3.js เพื่อดึงสคริปต์ถัดไปจาก smart contract และแสดงหน้าต่างหลอกลวง เช่น “อัปเดตระบบ” หรือ “ตรวจสอบความปลอดภัย” เพื่อหลอกให้ผู้ใช้คลิก

ระบบ smart contract ที่ใช้มี 3 ชั้น:

1️⃣ ชั้นแรก: ทำหน้าที่เป็น router ชี้ไปยัง contract ถัดไป

2️⃣ ชั้นสอง: ทำ reconnaissance และ fingerprinting เหยื่อ

3️⃣ ชั้นสาม: เก็บ URL ของ payload และคีย์ AES สำหรับถอดรหัส

การอัปเดต payload หรือคีย์สามารถทำได้ด้วยธุรกรรมราคาถูก (ประมาณ $0.25–$1.50) โดยไม่ต้องเปลี่ยนโค้ดหลักของ contract — ทำให้ระบบมีความยืดหยุ่นสูงและต้นทุนต่ำ

UNC5142 ยังใช้ Cloudflare Pages เพื่อโฮสต์หน้า phishing เช่น reCAPTCHA ปลอม, หน้าความเป็นส่วนตัวปลอม, และหน้าตรวจสอบ bot ปลอม ซึ่งหลอกผู้ใช้ให้คลิกและติดมัลแวร์

มัลแวร์ที่ใช้มีหลายตัว เช่น:

CLEARSHORT: JavaScript downloader
VIDAR และ LUMMAC.V2: สำหรับ Windows
RADTHIEF: ขโมย credentials
ATOMIC: สำหรับ macOS — ใช้ bash script และ bypass quarantine

กลุ่มนี้ยังมีโครงสร้าง infrastructure แบบคู่ขนาน (Main และ Secondary) เพื่อหลบเลี่ยงการถูกปิดระบบ และใช้ wallet ที่เชื่อมโยงกับ OKX exchange ในการจ่ายค่าธุรกรรม

UNC5142 ใช้ EtherHiding บน BNB Smart Chain เพื่อแพร่มัลแวร์
ฝัง payload ใน smart contract ที่ลบไม่ได้

เริ่มต้นจากเว็บไซต์ WordPress ที่ถูกเจาะ
โหลด CLEARSHORT JavaScript downloader

ใช้ Web3.js เชื่อมต่อกับ smart contract เพื่อดึง payload
แสดงหน้าต่างหลอกลวงให้เหยื่อคลิก

Smart contract มี 3 ชั้น: router → reconnaissance → payload
อัปเดตได้ด้วยธุรกรรมราคาถูก

ใช้ Cloudflare Pages เพื่อโฮสต์หน้า phishing
เช่น reCAPTCHA ปลอม และหน้าตรวจสอบ bot

มัลแวร์ที่ใช้: CLEARSHORT, VIDAR, LUMMAC.V2, RADTHIEF, ATOMIC
ครอบคลุมทั้ง Windows และ macOS

โครงสร้าง infrastructure แบบคู่ขนาน (Main และ Secondary)
ใช้ wallet ที่เชื่อมโยงกับ OKX exchange

https://securityonline.info/unc5142-uses-etherhiding-to-deploy-malware-via-bnb-smart-chain-smart-contracts/

“PeaZip 10.7 เพิ่มฟีเจอร์ดูภาพในไฟล์ — ครบเครื่องทั้งบีบอัดและพรีวิว”

PeaZip 10.7 เวอร์ชันล่าสุดของโปรแกรมจัดการไฟล์แบบโอเพ่นซอร์ส ได้เปิดตัวพร้อมฟีเจอร์ใหม่ที่น่าสนใจ: ตัวดูภาพ (image viewer) ที่สามารถพรีวิวภาพภายในไฟล์บีบอัดได้โดยไม่ต้องแตกไฟล์ออกมาก่อน

ฟีเจอร์ใหม่นี้อยู่ในเมนู “File manager > View images” และรองรับการซูม, โหมด immersive, การเปลี่ยนชื่อ, ลบไฟล์ และการนำทางภาพแบบพื้นฐาน นอกจากนี้ยังสามารถแสดง thumbnail ของภาพในตัวจัดการไฟล์ได้ทุกแพลตฟอร์ม

PeaZip 10.7 ยังปรับปรุงการทำงานร่วมกับ ClamAV (แอนตี้ไวรัสโอเพ่นซอร์ส), เพิ่มการพรีวิวไฟล์ในฟอร์แมต Zpaq, และปรับปรุงการเรียกดูไฟล์ .pkg รวมถึงเพิ่มตัวเลือก “Quick Look” บน macOS

ฟีเจอร์อื่น ๆ ที่น่าสนใจ ได้แก่:

การสำรวจ path ของไฟล์พรีวิวผ่านเบราว์เซอร์ของระบบ
การพรีวิวข้อความพร้อมฟีเจอร์ค้นหา, นับจำนวนคำ/บรรทัด/ตัวอักษร, เปลี่ยน encoding และ word wrap
ปรับปรุงธีม “Line custom”
เพิ่มตัวเลือกให้เก็บไฟล์ไว้แม้การแตกไฟล์ล้มเหลว (เฉพาะ backend Zstd)
ปรับปรุงการรายงานระดับการบีบอัดของ Brotli และ Zpaq
ปรับปรุงการตั้งชื่อหน่วยและรายการต่าง ๆ
ปรับปรุงเมนู “Functions” ให้เรียงตามตัวอักษรและใช้งานง่ายขึ้น
อัปเดตไลบรารี crypto/hash ให้รองรับสถาปัตยกรรม non-x86/x86_64

PeaZip 10.7 พร้อมให้ดาวน์โหลดทั้งเวอร์ชัน GTK และ Qt รวมถึง Flatpak ผ่าน Flathub

PeaZip 10.7 เพิ่มฟีเจอร์ image viewer
ดูภาพและพรีวิวภาพในไฟล์บีบอัดได้โดยไม่ต้องแตกไฟล์

รองรับการแสดง thumbnail ใน file manager ทุกแพลตฟอร์ม
ช่วยให้ดูภาพในไฟล์บีบอัดได้สะดวกขึ้น

ปรับปรุงการทำงานร่วมกับ ClamAV
เพิ่มความปลอดภัยในการจัดการไฟล์

รองรับการพรีวิวไฟล์ Zpaq และ .pkg
ขยายความสามารถในการจัดการฟอร์แมตเฉพาะ

เพิ่ม Quick Look บน macOS และปรับปรุง Text preview
รองรับการค้นหา, นับคำ, เปลี่ยน encoding ฯลฯ

ปรับปรุงเมนู Functions และธีม Line custom
ใช้งานง่ายและดูสบายตายิ่งขึ้น

เพิ่มตัวเลือกเก็บไฟล์แม้แตกไฟล์ล้มเหลว (Zstd)
ป้องกันการสูญหายของข้อมูล

อัปเดตไลบรารี crypto/hash ให้รองรับสถาปัตยกรรมหลากหลาย
เพิ่มความเข้ากันได้กับระบบที่ไม่ใช่ x86

https://9to5linux.com/peazip-10-7-open-source-archive-manager-introduces-an-image-viewer

“แฮ็กเกอร์ใช้เว็บ WordPress กว่า 14,000 แห่งแพร่มัลแวร์ผ่านบล็อกเชน” — เมื่อ ClickFix และ CLEARSHOT กลายเป็นอาวุธใหม่ในสงครามไซเบอร์

Google Threat Intelligence Group (GTIG) เปิดเผยว่า กลุ่มแฮ็กเกอร์ UNC5142 ได้เจาะระบบเว็บไซต์ WordPress กว่า 14,000 แห่งทั่วโลก เพื่อใช้เป็นฐานปล่อยมัลแวร์ โดยอาศัยเทคนิคใหม่ที่ผสาน JavaScript downloader กับบล็อกเชนสาธารณะเพื่อหลบเลี่ยงการตรวจจับและการปิดระบบ

มัลแวร์ถูกส่งผ่านตัวดาวน์โหลดชื่อ “CLEARSHOT” ซึ่งฝังอยู่ในเว็บไซต์ที่ถูกแฮ็ก และจะดึง payload ระยะที่สองจากบล็อกเชน BNB chain โดยตรง จากนั้นจะโหลดหน้า landing page ที่เรียกว่า “CLEARSHORT” ซึ่งใช้กลยุทธ์ ClickFix หลอกให้เหยื่อคัดลอกคำสั่งไปวางใน Run (Windows) หรือ Terminal (Mac) เพื่อรันมัลแวร์ด้วยตัวเอง

การใช้บล็อกเชนทำให้โครงสร้างพื้นฐานของแฮ็กเกอร์มีความทนทานต่อการตรวจจับและการปิดระบบ เพราะข้อมูลไม่สามารถลบหรือเปลี่ยนแปลงได้ง่ายเหมือนเว็บทั่วไป

แม้กลุ่ม UNC5142 จะหยุดปฏิบัติการในเดือนกรกฎาคม 2025 แต่ GTIG เชื่อว่าพวกเขาอาจยังคงเคลื่อนไหวอยู่ โดยเปลี่ยนเทคนิคให้ซับซ้อนและตรวจจับยากขึ้น

กลุ่ม UNC5142 เจาะระบบเว็บไซต์ WordPress กว่า 14,000 แห่ง
ใช้ช่องโหว่ในปลั๊กอิน, ธีม และฐานข้อมูล

ใช้ JavaScript downloader ชื่อ “CLEARSHOT” เพื่อกระจายมัลแวร์
ดึง payload ระยะที่สองจากบล็อกเชน BNB chain

หน้า landing page “CLEARSHORT” ใช้กลยุทธ์ ClickFix
หลอกให้เหยื่อคัดลอกคำสั่งไปวางใน Run หรือ Terminal

มัลแวร์ถูกโหลดจากเซิร์ฟเวอร์ภายนอกผ่าน Cloudflare .dev
ข้อมูลถูกเข้ารหัสเพื่อหลบเลี่ยงการตรวจจับ

การใช้บล็อกเชนเพิ่มความทนทานต่อการปิดระบบ
เพราะข้อมูลไม่สามารถลบหรือเปลี่ยนแปลงได้ง่าย

GTIG เชื่อว่า UNC5142 ยังไม่เลิกปฏิบัติการจริง
อาจเปลี่ยนเทคนิคเพื่อหลบเลี่ยงการตรวจจับ

https://www.techradar.com/pro/security/thousands-of-web-pages-abused-by-hackers-to-spread-malware

Visit Now: https://boostbizs.com/product/buy-old-gmail-accounts/
➤E-mail : boostbizs2022@ gmail.com
➤WhatsApp : +44 7577-329388
➤Telegram : @boostbizs
➤Skype : Boost Bizs
#boostbizs #seo #digitalmarketer #usaaccounts #seoservice #socialmedia #contentwriter #on_page_seo #off_page_s
#webdesign #branding #business #onlinemarketing #contentmarketing #website #marketingdigital #searchengineoptimization #google #ecommerce #webdevelopment #digitalmarketingagency #marketingstrategy #instagram #advertising #entrepreneur #marketingtips #design #wordpress #digital #graphicdesign #websitedesign #smallbusiness #smm #emailmarketing

Visit Now: https://boostbizs.com/product/buy-google-5-star-reviews/
➤E-mail : boostbizs2022@ gmail.com
➤WhatsApp : +44 7577-329388
➤Telegram : @boostbizs
➤Skype : Boost Bizs
#boostbizs #seo #digitalmarketer #usaaccounts #seoservice #socialmedia #contentwriter #on_page_seo #off_page_s
#webdesign #branding #business #onlinemarketing #contentmarketing #website #marketingdigital #searchengineoptimization #google #ecommerce #webdevelopment #digitalmarketingagency #marketingstrategy #instagram #advertising #entrepreneur #marketingtips #design #wordpress #digital #graphicdesign #websitedesign #smallbusiness #smm #emailmarketing