📌🔐🟢 รวมข่าวจากเวบ SecurityOnline 🟢🔐📌 #รวมข่าวIT #20260107 #securityonline ⚡ NVIDIA เปิดตัว G‑SYNC Pulsar และ DLSS 4.5: ก้าวกระโดดสู่ภาพลื่นระดับ 1000Hz NVIDIA เผยโฉมเทคโนโลยี G‑SYNC Pulsar ที่ยกระดับความคมชัดของภาพเคลื่อนไหวให้เทียบเท่าจอ 1000Hz ผ่านเทคนิค Rolling Scan และระบบควบคุมแสงแบบอัจฉริยะ พร้อมเปิดตัว DLSS 4.5 ที่เพิ่มเฟรมเรตได้สูงสุด 6 เท่าและลดปัญหา ghosting อย่างเห็นผล รวมถึงโชว์การใช้งาน ACE AI Assistant ในเกมจริงครั้งแรก ทำให้การเล่นเกมยุคใหม่ทั้งลื่น คม และฉลาดขึ้นอย่างชัดเจน 🔗 https://securityonline.info/the-1000hz-illusion-nvidia-unveils-g-sync-pulsar-and-dlss-4-5-at-ces-2026 🚗🧠 Qualcomm เปิดตัว Agentic AI และแพลตฟอร์ม Dual‑Elite: สมองกลางของรถยนต์ยุคใหม่ Qualcomm ประกาศความร่วมมือเชิงลึกกับ Google พร้อมเปิดตัวสถาปัตยกรรม Agentic AI และคอนโทรลเลอร์แบบ Dual Snapdragon Elite ที่รวมสมองกลรถยนต์ทุกระบบไว้ในศูนย์กลางเดียว รองรับทั้งจอหลายชุด กล้องจำนวนมาก และระบบขับขี่อัตโนมัติระดับสูง โดยมี Leapmotor และ Toyota เป็นพันธมิตรรายแรก ๆ ที่นำเทคโนโลยีนี้ไปใช้ ซึ่งสะท้อนการเปลี่ยนผ่านสู่รถยนต์ที่คิด วิเคราะห์ และตอบสนองได้อย่างชาญฉลาดมากขึ้น 🔗 https://securityonline.info/the-central-brain-qualcomm-unveils-agentic-ai-and-dual-elite-platforms-at-ces-2026 🤖✨ Boston Dynamics จับมือ Google DeepMind สร้าง Atlas รุ่นใหม่ที่ทั้ง “คิดเป็นและเคลื่อนไหวเหนือมนุษย์” Boston Dynamics และ Google DeepMind ผนึกกำลังนำโมเดล Gemini Robotics มาเสริมสมองให้หุ่นยนต์ Atlas รุ่นใหม่ที่มีความแข็งแรงระดับยกของ 50 กก. พร้อมความสามารถด้านการรับรู้และเหตุผลขั้นสูง โดย Hyundai เตรียมนำไปทดสอบในสายการผลิตจริงภายในปีนี้ เป้าหมายคือหุ่นยนต์ที่ทั้งคล่องตัวและฉลาดพอสำหรับงานอุตสาหกรรมในอนาคตอันใกล้ 🔗 https://securityonline.info/brain-meets-brawn-boston-dynamics-and-google-deepmind-unite-for-the-new-atlas 🚘🌐 “รถยนต์ 10 ปี” ของ Qualcomm x Google: ยุคใหม่ของรถที่อัปเดตได้เหมือนสมาร์ตโฟน Qualcomm และ Google เดินหน้าสร้างมาตรฐานใหม่ของรถยนต์แบบ Software‑Defined Vehicle ผ่านการผสาน Snapdragon Digital Chassis เข้ากับ Android Automotive OS และระบบคลาวด์ของ Google ทำให้รถสามารถอัปเดตฟีเจอร์ได้ยาวนานถึง 10 ปี รองรับ AI ผู้ช่วยในรถแบบเรียลไทม์ และเปิดให้พัฒนาแอปบน vSoC ผ่านคลาวด์โดยไม่ต้องใช้ฮาร์ดแวร์จริง ถือเป็นก้าวสำคัญสู่รถยนต์ที่ฉลาดขึ้นเรื่อย ๆ ตามอายุการใช้งาน 🔗 https://securityonline.info/the-ten-year-car-qualcomm-and-google-unveil-the-future-of-ai-powered-mobility 📶🚀 MediaTek เปิดตัว Filogic 8000: ชิป Wi‑Fi 8 ที่เน้นความเสถียรมากกว่าความเร็ว MediaTek เปิดตัวแพลตฟอร์ม Wi‑Fi 8 Filogic 8000 ที่ออกแบบมาเพื่อรองรับสภาพแวดล้อมที่มีอุปกรณ์หนาแน่นและงาน AI‑intensive โดยเน้นความเสถียร ความหน่วงต่ำ และประสิทธิภาพการใช้งานจริงมากกว่าความเร็วสูงสุด ด้วยเทคโนโลยี Multi‑AP Coordination, Spectral Efficiency และ Long‑Range Enhancement ทำให้เหมาะกับบ้านอัจฉริยะ องค์กร และอุปกรณ์ยุคใหม่ที่ต้องการการเชื่อมต่อที่ไม่สะดุดแม้ในพื้นที่แออัด 🔗 https://securityonline.info/reliability-over-speed-mediatek-debuts-filogic-8000-to-power-the-wi-fi-8-revolution 🛡️ Google อุดช่องโหว่ WebView รุนแรงใน Chrome 143 Google ปล่อยอัปเดตความปลอดภัยครั้งสำคัญให้ Chrome เวอร์ชัน 143 เพื่อแก้ไขช่องโหว่ระดับรุนแรง CVE-2026-0628 ซึ่งเกิดจากการบังคับใช้นโยบายใน WebView ไม่เพียงพอ ทำให้ผู้โจมตีอาจหลุดออกจาก sandbox และเลี่ยงข้อจำกัดด้านความปลอดภัยได้ โดยช่องโหว่นี้ถูกรายงานตั้งแต่ปลายปี 2025 และ Google จำกัดการเปิดเผยรายละเอียดจนกว่าผู้ใช้ส่วนใหญ่จะอัปเดตเพื่อป้องกันการย้อนรอยโจมตี 🔗 https://securityonline.info/google-patches-high-severity-webview-flaw-in-chrome-143 🐍🔓 ช่องโหว่ Forcepoint DLP เปิดทางรันโค้ดผ่าน Python ที่ถูกจำกัด พบช่องโหว่ CVE-2025-14026 ใน Forcepoint One DLP Client ที่ทำให้ผู้โจมตีสามารถกู้คืนความสามารถของ Python ที่ถูกจำกัดไว้ และโหลด ctypes กลับมาใช้งานเพื่อรันโค้ดอันตรายได้ ส่งผลให้สามารถปิดระบบป้องกันข้อมูลหรือดัดแปลงพฤติกรรมของไคลเอนต์ได้ โดย Forcepoint แก้ปัญหาด้วยการลบ Python runtime ออกจากเวอร์ชันใหม่ทั้งหมด 🔗 https://securityonline.info/cve-2025-14026-forcepoint-dlp-flaw-lets-attackers-unchain-restricted-python 🏨💀 แคมเปญ PHALT#BLYX หลอกโรงแรมด้วย BSOD ปลอมเพื่อติดตั้ง DCRat แคมเปญโจมตี PHALT#BLYX ใช้การหลอกลวงแบบ “click-fix” ผ่านอีเมลปลอมจาก Booking.com พาเหยื่อไปหน้า CAPTCHA ปลอมที่นำไปสู่ Blue Screen ปลอม ก่อนหลอกให้รัน PowerShell เพื่อติดตั้งมัลแวร์ DCRat และ AsyncRAT โดยใช้เครื่องมือ Windows จริงเพื่อหลบการตรวจจับ พร้อมพบร่องรอยเชื่อมโยงกลุ่มผู้โจมตีที่ใช้ภาษารัสเซีย 🔗 https://securityonline.info/the-clickfix-trap-phaltblyx-targets-hotels-with-fake-blue-screens-and-dcrat 🧰🕵️‍♂️ Utility ชื่อดังในจีนถูกแอบฝังปลั๊กอิน Mltab เพื่อดักข้อมูลเบราว์เซอร์ เครื่องมือ Office Assistant ที่นิยมในจีนถูกพบว่าถูกฝังโค้ดอันตรายตั้งแต่ปี 2024 โดยโหลดปลั๊กอิน Mltab ที่มีลายเซ็นดิจิทัลปลอมเพื่อดักข้อมูลผู้ใช้และเปลี่ยนเส้นทางทราฟฟิก รวมถึงแก้ไขหน้า New Tab และลิงก์ต่าง ๆ เพื่อสร้างรายได้จากการรีไดเรกต์ โดยมีผู้ติดเชื้อเกือบหนึ่งล้านเครื่อง และปลั๊กอินยังคงอยู่ใน Edge Add-on Store ในช่วงเวลาที่รายงาน 🔗 https://securityonline.info/popular-chinese-utility-hijacked-to-deploy-browser-malware 🔑⚠️ ช่องโหว่ Dify ทำ API Key หลุดแบบ plaintext ให้ผู้ใช้ทั่วไปเห็นได้ แพลตฟอร์มโอเพ่นซอร์ส Dify พบช่องโหว่ CVE-2025-67732 ที่ทำให้ API key ของผู้ให้บริการโมเดล เช่น OpenAI ถูกส่งกลับไปยัง frontend แบบไม่ปิดบัง ทำให้ผู้ใช้ที่ไม่ใช่แอดมินสามารถดึงคีย์ไปใช้สร้างค่าใช้จ่ายหรือเข้าถึงบริการโดยไม่ได้รับอนุญาต ทีมพัฒนาได้แก้ไขแล้วในเวอร์ชัน 1.11.0 และแนะนำให้อัปเดตทันที 🔗 https://securityonline.info/cve-2025-67732-dify-patch-fixes-high-severity-plaintext-api-key-exposure 🔐 wolfSSH พบช่องโหว่ตรรกะร้ายแรงทำรหัสผ่านลูกค้ารั่วแบบไม่เข้ารหัส รายงานเตือนภัยล่าสุดเผยว่า wolfSSH มีช่องโหว่ด้านตรรกะที่ทำให้รหัสผ่านของผู้ใช้ถูกส่งแบบข้อความล้วน ซึ่งอาจถูกดักจับได้ง่ายในสภาพแวดล้อมเครือข่ายที่ไม่ปลอดภัย โดยช่องโหว่นี้กระทบระบบที่ใช้ SCP/SSH และอุปกรณ์ embedded หลายประเภท ทำให้ผู้ดูแลระบบจำเป็นต้องตรวจสอบการใช้งานและอัปเดตการตั้งค่าความปลอดภัยทันทีเพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้นจากการโจมตีแบบดักฟังหรือสอดแนมข้อมูลสำคัญขององค์กร 🔗 https://securityonline.info/wolfssh-alert-critical-logic-flaw-exposes-client-passwords-in-clear-text 📧 Microsoft เตือนภัยการปลอมโดเมนภายในพุ่งสูง ใช้ช่องโหว่การตั้งค่าอีเมล Microsoft รายงานว่ามีการโจมตีฟิชชิงรูปแบบใหม่ที่ปลอมอีเมลให้เหมือนส่งมาจากภายในองค์กร โดยอาศัยการตั้งค่า MX และ DMARC ที่ผิดพลาดในระบบที่ไม่ได้ชี้ตรงไปยัง Office 365 ทำให้ผู้โจมตีสามารถส่งอีเมลปลอมที่ดูน่าเชื่อถือมาก พร้อมแนบไฟล์ปลอม เช่น ใบแจ้งหนี้หรือเอกสารภาษี เพื่อหลอกให้เหยื่อโอนเงินหรือกรอกข้อมูลสำคัญ ซึ่ง Microsoft แนะนำให้องค์กรตั้งค่า DMARC แบบ reject และ SPF แบบ hard fail เพื่อปิดช่องโหว่นี้ทันที 🔗 https://securityonline.info/microsoft-warns-of-surge-in-internal-domain-spoofing 📡 ช่องโหว่ RCE ร้ายแรงโจมตีเราเตอร์ D-Link รุ่นเก่า แก้ไขไม่ได้อีกต่อไป พบช่องโหว่ CVE-2026-0625 ที่เปิดให้ผู้โจมตีสามารถสั่งรันโค้ดจากระยะไกลบนเราเตอร์ D-Link รุ่นเก่าที่หมดอายุซัพพอร์ตแล้ว โดยเกิดจากการตรวจสอบข้อมูลใน dnscfg.cgi ที่ไม่รัดกุม ทำให้ผู้โจมตีสามารถส่งคำสั่งระบบได้โดยไม่ต้องล็อกอิน และมีรายงานว่าถูกใช้โจมตีจริงตั้งแต่ปลายปี 2025 ทำให้ผู้ใช้จำเป็นต้องเปลี่ยนอุปกรณ์ใหม่เท่านั้นเพราะไม่มีแพตช์แก้ไขใด ๆ อีกต่อไป 🔗 https://securityonline.info/cve-2026-0625-critical-actively-exploited-rce-hits-unpatchable-d-link-routers 📶 TOTOLINK EX200 เปิด Telnet root เองเมื่ออัปเดตเฟิร์มแวร์ผิดพลาด ช่องโหว่ CVE-2025-65606 ถูกพบใน TOTOLINK EX200 ซึ่งเมื่ออัปโหลดไฟล์เฟิร์มแวร์ที่ผิดรูปแบบ อุปกรณ์จะเข้าสู่โหมดผิดปกติและเปิดบริการ Telnet ด้วยสิทธิ์ root โดยไม่ต้องยืนยันตัวตน ทำให้ผู้โจมตีที่เข้าถึงหน้าเว็บจัดการได้สามารถยกระดับสิทธิ์เป็นผู้ควบคุมระบบเต็มรูปแบบ และเนื่องจากอุปกรณ์หมดอายุซัพพอร์ตแล้ว ผู้ใช้ควรเลิกใช้งานหรือแยกเครือข่ายอย่างเข้มงวดทันทีเพื่อหลีกเลี่ยงความเสี่ยงร้ายแรง 🔗 https://securityonline.info/cve-2025-65606-totolink-ex200-error-opens-root-telnet-door ⚠️ n8n พบช่องโหว่ CVSS 10.0 เปิดทางยึดระบบเต็มรูปแบบผ่านการเขียนไฟล์ แพลตฟอร์ม workflow automation อย่าง n8n ประกาศเตือนช่องโหว่ร้ายแรง CVE-2026-21877 ที่เปิดให้ผู้ใช้ที่ผ่านการยืนยันตัวตนสามารถเขียนไฟล์อันตรายลงระบบและสั่งรันโค้ดได้ ทำให้ผู้โจมตีสามารถยึดระบบทั้งเซิร์ฟเวอร์ได้ทันที โดยคาดว่าช่องโหว่มาจากฟีเจอร์ Git node ซึ่งแนะนำให้ปิดการใช้งานชั่วคราวหากยังไม่สามารถอัปเดตเป็นเวอร์ชัน 1.121.3 หรือใหม่กว่าได้ เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นในสภาพแวดล้อมที่มีผู้ใช้หลายคนร่วมกัน ​​​​​​​🔗 https://securityonline.info/cvss-10-0-alert-critical-n8n-flaw-cve-2026-21877-grants-total-control

🛡️ Veeam ออกแพตช์ด่วน! อุดช่องโหว่ RCE ร้ายแรงใน Backup & Replication เวอร์ชันล่าสุด Veeam ได้ปล่อยอัปเดตความปลอดภัยสำคัญเพื่อแก้ไขช่องโหว่ระดับ Critical ที่เปิดโอกาสให้ผู้โจมตีสามารถทำ Remote Code Execution (RCE) บนเซิร์ฟเวอร์ Backup & Replication ได้ ช่องโหว่นี้ถูกจัดอยู่ในระดับความรุนแรงสูงมาก เนื่องจากระบบสำรองข้อมูลเป็นหัวใจสำคัญขององค์กร และหากถูกเจาะสำเร็จ ผู้โจมตีสามารถเข้าควบคุมระบบสำรองทั้งหมดได้ทันที รวมถึงลบ สำเนา หรือเข้ารหัสข้อมูลสำคัญได้ ช่องโหว่นี้เกิดขึ้นในส่วนของ Veeam Backup Service ซึ่งเป็นบริการหลักที่ใช้จัดการการสื่อสารระหว่างคอมโพเนนต์ต่าง ๆ ของระบบ ผู้โจมตีที่สามารถเข้าถึงพอร์ตที่เปิดอยู่ของบริการนี้ได้ อาจส่งคำสั่งที่ crafted มาเป็นพิเศษเพื่อรันโค้ดบนเครื่องเป้าหมายในสิทธิ์ระดับสูง ทำให้ระบบสำรองข้อมูลทั้งหมดตกอยู่ในความเสี่ยงอย่างรุนแรง Veeam ได้ออกแพตช์แก้ไขในเวอร์ชันล่าสุดของ Backup & Replication และแนะนำให้ผู้ใช้ทุกคนอัปเดตทันที โดยเฉพาะองค์กรที่เปิดพอร์ตบริการสู่เครือข่ายภายนอก หรือมีระบบที่ยังไม่ได้แยกเครือข่ายอย่างเหมาะสม นอกจากนี้ Veeam ยังเตือนว่าการป้องกันด้วย Firewall เพียงอย่างเดียวไม่เพียงพอ หากระบบยังไม่ได้อัปเดตแพตช์ล่าสุด ผลกระทบของช่องโหว่นี้ถือว่ารุนแรงมาก เพราะระบบสำรองข้อมูลเป็นเป้าหมายหลักของแรนซัมแวร์ในช่วงหลายปีที่ผ่านมา การปล่อยให้ช่องโหว่ RCE เปิดอยู่เท่ากับเปิดประตูให้ผู้โจมตีเข้าถึงข้อมูลสำรองทั้งหมด ซึ่งอาจทำให้องค์กรไม่สามารถกู้คืนระบบได้หลังถูกโจมตี 📌 สรุปประเด็นสำคัญ ✅ รายละเอียดช่องโหว่ ➡️ เป็นช่องโหว่ Remote Code Execution (RCE) ➡️ เกิดในบริการหลักของ Veeam Backup Service ‼️ ความเสี่ยงที่เกิดขึ้น ⛔ ผู้โจมตีสามารถรันโค้ดบนเซิร์ฟเวอร์สำรองข้อมูลได้ ⛔ เสี่ยงต่อการลบหรือเข้ารหัสข้อมูลสำรองทั้งหมด ✅ การอัปเดตที่ปล่อยออกมา ➡️ Veeam ออกแพตช์ใน Backup & Replication เวอร์ชันล่าสุด ➡️ แนะนำให้อัปเดตทันทีโดยไม่ต้องรอ Maintenance Window ‼️ ความเสี่ยงหากไม่อัปเดต ⛔ ระบบสำรองข้อมูลอาจถูกยึดครองโดยผู้โจมตี ⛔ องค์กรอาจไม่สามารถกู้คืนข้อมูลหลังเหตุการณ์โจมตีได้ ✅ คำแนะนำด้านความปลอดภัย ➡️ อัปเดตแพตช์ล่าสุดทันที ➡️ จำกัดการเข้าถึงพอร์ตของ Veeam Backup Service เฉพาะภายในองค์กร ‼️ ความเสี่ยงหากละเลย ⛔ แรนซัมแวร์สามารถโจมตีระบบสำรองได้โดยตรง ⛔ อาจสูญเสียข้อมูลสำคัญแบบถาวร https://securityonline.info/veeam-patches-critical-rce-flaws-in-latest-backup-replication-release/

🛡️ Chrome 143 ออกแพตช์ด่วน! อุดช่องโหว่ WebView ระดับร้ายแรงที่เสี่ยงหลุด Sandbox Google ได้ปล่อยอัปเดตความปลอดภัยสำคัญสำหรับ Chrome เวอร์ชัน 143 เพื่อแก้ไขช่องโหว่ร้ายแรงที่เกี่ยวข้องกับ WebView tag ซึ่งอาจทำให้ผู้โจมตีสามารถหลบเลี่ยงนโยบายความปลอดภัยของเบราว์เซอร์ได้ ช่องโหว่นี้ถูกระบุเป็น CVE‑2026‑0628 และถูกจัดระดับ High Severity โดยมีผลกระทบต่อผู้ใช้ Windows, macOS และ Linux ทั่วโลก การอัปเดตนี้ถูกผลักเข้าสู่ Stable Channel แล้ว และผู้ใช้ควรอัปเดตทันทีเพื่อป้องกันความเสี่ยงจากการโจมตี WebView เป็นองค์ประกอบที่ทรงพลังใน Chrome Apps ที่ใช้ฝังเนื้อหาเว็บแบบแยกกระบวนการ แต่ด้วยการบังคับใช้นโยบายที่ไม่สมบูรณ์ อาจเปิดช่องให้เนื้อหาที่เป็นอันตรายหลุดออกจาก sandbox หรือเข้าถึงข้อมูลที่ไม่ควรเข้าถึงได้ ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยด้านความปลอดภัย Gal Weizman เมื่อวันที่ 23 พฤศจิกายน 2025 และอยู่ระหว่างการประเมินรางวัลจาก Google’s Vulnerability Reward Program Google ระบุว่ารายละเอียดเชิงลึกของบั๊กจะถูกปิดไว้ชั่วคราวจนกว่าผู้ใช้ส่วนใหญ่จะอัปเดตเสร็จ เพื่อป้องกันไม่ให้ผู้ไม่หวังดีย้อนรอยแพตช์และสร้าง exploit ขึ้นมาโจมตี ผู้ใช้สามารถตรวจสอบและอัปเดตได้ด้วยตนเองผ่านเมนู Help > About Google Chrome ซึ่งจะเริ่มดาวน์โหลดอัปเดตโดยอัตโนมัติ การอัปเดตครั้งนี้สะท้อนให้เห็นถึงความสำคัญของการจัดการช่องโหว่ในส่วนประกอบที่ดูเหมือนเล็กน้อยอย่าง WebView แต่มีผลกระทบต่อความปลอดภัยโดยรวมของเบราว์เซอร์อย่างมาก โดยเฉพาะในยุคที่เว็บแอปและ Chrome Apps ถูกใช้งานอย่างแพร่หลาย 📌 สรุปประเด็นสำคัญ ✅ รายละเอียดช่องโหว่ ➡️ ช่องโหว่ถูกระบุเป็น CVE‑2026‑0628 ➡️ เป็นปัญหา Insufficient policy enforcement ใน WebView tag ‼️ ความเสี่ยงที่เกิดขึ้น ⛔ อาจทำให้เนื้อหาที่เป็นอันตรายหลุดออกจาก sandbox ⛔ เสี่ยงต่อการ bypass นโยบายความปลอดภัยของ Chrome ✅ การอัปเดตที่ปล่อยออกมา ➡️ Chrome เวอร์ชันที่ได้รับแพตช์: 143.0.7499.192/.193 บน Windows/macOS และ 143.0.7499.192 บน Linux ➡️ อัปเดตอยู่ใน Stable Channel และทยอยปล่อยให้ผู้ใช้ทั่วโลก ‼️ ความเสี่ยงหากไม่อัปเดต ⛔ ผู้โจมตีอาจ reverse-engineer แพตช์เพื่อสร้าง exploit ⛔ ผู้ใช้ที่ยังไม่อัปเดตเสี่ยงถูกโจมตีแบบ zero‑day ✅ ข้อมูลจากนักวิจัย ➡️ ช่องโหว่ถูกรายงานโดย Gal Weizman เมื่อ 23 พ.ย. 2025 ➡️ อยู่ระหว่างการประเมินรางวัลจาก Google VRP ‼️ ผลกระทบต่อผู้ใช้ ⛔ ผู้ใช้ Chrome Apps ที่ใช้ WebView เสี่ยงมากเป็นพิเศษ ⛔ อาจถูกใช้เป็นช่องทางโจมตีระบบอื่นต่อเนื่อง ✅ คำแนะนำ ➡️ อัปเดต Chrome ผ่าน Help > About Google Chrome ➡️ ตรวจสอบว่าเวอร์ชันเป็น 143.0.7499.192/.193 หรือใหม่กว่า ‼️ ความเสี่ยงหากละเลย ⛔ ระบบอาจถูกโจมตีผ่าน WebView โดยไม่รู้ตัว ⛔ อาจสูญเสียข้อมูลหรือถูกเข้าควบคุมผ่านช่องโหว่ https://securityonline.info/google-patches-high-severity-webview-flaw-in-chrome-143/

🛡️ Zero‑Day “Chronomaly” เขย่าโลก Linux — ช่องโหว่ใหม่เปิดทางสู่ Root Access ช่องโหว่ความปลอดภัยล่าสุดที่ถูกตั้งชื่อว่า Chronomaly กำลังสร้างความกังวลในวงการความปลอดภัยไซเบอร์ เนื่องจากเป็น Zero‑Day ที่ถูกใช้โจมตีจริงแล้วบน Linux Kernel สาย 5.10.x โดยเฉพาะในอุปกรณ์ Android หลายรุ่น ช่องโหว่นี้ถูกติดตามภายใต้รหัส CVE‑2025‑38352 ซึ่งเป็นช่องโหว่ระดับ High Severity (CVSS 7.4) และถูกจัดอยู่ในกลุ่ม Elevation of Privilege (EoP) ที่เปิดโอกาสให้ผู้โจมตีสามารถยกระดับสิทธิ์ขึ้นเป็น Root ได้ ต้นตอของปัญหาเกิดจาก race condition ใน POSIX CPU timers ซึ่งทำให้กระบวนการ cleanup ของ task ทำงานผิดพลาดจนเกิด memory corruption เมื่อถูกโจมตีสำเร็จ อาจนำไปสู่การล่มของระบบ (crash), การโจมตีแบบ DoS หรือการยึดสิทธิ์ Root แบบสมบูรณ์ นักวิจัย farazsth98 ได้เผยแพร่ exploit สาธารณะชื่อ “Chronomaly” ซึ่งสามารถทำงานได้บน Linux kernel v5.10.157 และคาดว่าจะใช้ได้กับทุกเวอร์ชันในสาย 5.10.x เพราะไม่ต้องพึ่งพา memory offset เฉพาะรุ่น Google ยืนยันว่าช่องโหว่นี้ถูกใช้โจมตีจริงในลักษณะ limited, targeted exploitation ซึ่งหมายความว่าเป็นการโจมตีแบบเจาะจงเป้าหมาย โดยกลุ่มผู้โจมตีระดับสูง (APT) อาจเป็นผู้ใช้ช่องโหว่นี้ก่อนที่แพตช์จะถูกเผยแพร่สู่สาธารณะ การอัปเดตความปลอดภัยประจำเดือนกันยายน 2025 ได้ออกแพตช์แก้ไขแล้ว และผู้ใช้อุปกรณ์ Android ที่ใช้ kernel สายนี้ควรอัปเดตทันทีเพื่อปิดช่องโหว่ ผลกระทบของ Chronomaly ไม่ได้จำกัดแค่ Android เท่านั้น แต่ยังสะท้อนถึงความเสี่ยงของระบบที่ใช้ Linux kernel รุ่นเก่าในองค์กรต่าง ๆ โดยเฉพาะอุปกรณ์ IoT, ระบบฝังตัว และเซิร์ฟเวอร์ที่ยังไม่ได้อัปเดต การโจมตีแบบ local privilege escalation แม้จะต้องเข้าถึงเครื่องก่อน แต่ก็เป็นจุดเริ่มต้นของการยึดระบบทั้งหมดได้อย่างง่ายดายหากผู้โจมตีมี foothold อยู่แล้ว 📌 สรุปประเด็นสำคัญ ✅ ช่องโหว่และรายละเอียดทางเทคนิค ➡️ CVE‑2025‑38352 เป็นช่องโหว่ EoP ระดับ High Severity ➡️ เกิดจาก race condition ใน POSIX CPU timers ทำให้เกิด memory corruption ‼️ ความเสี่ยงที่เกิดขึ้น ⛔ ผู้โจมตีสามารถยกระดับสิทธิ์เป็น Root ได้ ⛔ อาจทำให้ระบบ crash หรือถูก DoS ✅ การโจมตีและ exploit ที่ถูกเผยแพร่ ➡️ exploit “Chronomaly” ใช้งานได้บน Linux kernel v5.10.157 ➡️ คาดว่าจะใช้ได้กับทุก kernel ในสาย 5.10.x ‼️ ความเสี่ยงจากการมี exploit สาธารณะ ⛔ เพิ่มโอกาสให้ผู้โจมตีทั่วไปนำไปใช้ ⛔ ระบบที่ยังไม่อัปเดตมีความเสี่ยงสูงขึ้นทันที ✅ การยืนยันจาก Google ➡️ ตรวจพบการโจมตีจริงแบบ targeted exploitation ➡️ แพตช์แก้ไขถูกปล่อยในอัปเดตความปลอดภัยเดือนกันยายน 2025 ‼️ ผลกระทบต่อผู้ใช้ ⛔ อุปกรณ์ Android ที่ยังไม่อัปเดตเสี่ยงถูกโจมตี ⛔ องค์กรที่ใช้ Linux kernel รุ่นเก่าอาจถูกเจาะระบบได้ง่ายขึ้น ✅ ข้อแนะนำด้านความปลอดภัย ➡️ อัปเดตแพตช์ล่าสุดทันที ➡️ ตรวจสอบระบบที่ใช้ kernel 5.10.x เป็นพิเศษ ‼️ ความเสี่ยงหากไม่อัปเดต ⛔ ผู้โจมตีสามารถยึดระบบได้จากการเข้าถึงเพียงเล็กน้อย ⛔ อาจถูกใช้เป็นฐานโจมตีระบบอื่นในเครือข่าย https://securityonline.info/zero-day-chronomaly-exploit-grants-root-access-to-vulnerable-linux-kernels/

⚙️ เลือกโฮสติ้งให้ถูก…อนาคตของงานประมวลผลหนักอยู่ที่ความปลอดภัยและความเสถียร การเลือกแพลตฟอร์มโฮสติ้งสำหรับงานประมวลผลประสิทธิภาพสูง (High‑Performance Applications) ไม่ใช่แค่เรื่อง “สเปกแรง” อีกต่อไป แต่เป็นการตัดสินใจเชิงกลยุทธ์ที่ส่งผลต่อความปลอดภัย ความเสถียร และต้นทุนระยะยาวขององค์กรหรือทีมพัฒนาโดยตรง เนื้อหาในหน้าเว็บชี้ให้เห็นว่าการใช้งาน GPU สำหรับงาน Machine Learning, Simulation, 3D Rendering หรือ Data Processing ทำให้โครงสร้างพื้นฐานกลายเป็นส่วนหนึ่งของตัวผลิตภัณฑ์เอง และการเลือกผิดเพียงครั้งเดียวอาจทำให้เกิดค่าใช้จ่ายแฝงจำนวนมากในอนาคต หนึ่งในประเด็นสำคัญคือ “ราคาถูกไม่ได้แปลว่าคุ้มค่า” เพราะผู้ให้บริการบางรายลดต้นทุนด้วยการใช้ฮาร์ดแวร์เก่า จำกัดการตั้งค่าระบบ หรือมีนโยบายบิลลิ่งที่ไม่ยืดหยุ่น ซึ่งอาจทำให้เกิดปัญหาเมื่อรันงานจริงเป็นเวลานานหรือมีโหลดพุ่งขึ้นแบบไม่คาดคิด การจ่ายแพงขึ้นเล็กน้อยอาจแลกมากับเสถียรภาพที่สูงกว่าและเวลาที่ทีมวิศวกรไม่ต้องเสียไปกับการแก้ปัญหาโครงสร้างพื้นฐาน ด้านความปลอดภัยก็เป็นอีกแกนหลักที่ไม่ควรมองข้าม โดยเฉพาะการแยกทรัพยากร GPU อย่างเหมาะสม การควบคุม Firewall และการเข้ารหัสข้อมูลทั้งขณะส่งผ่านและขณะจัดเก็บ ซึ่งเป็นมาตรฐานที่ควรมีในทุกแพลตฟอร์มที่รองรับงานข้อมูลสำคัญหรือโมเดลที่เป็นทรัพย์สินทางปัญญา นอกจากนี้ ความสามารถของทีมซัพพอร์ตและความชัดเจนของนโยบาย Uptime ก็เป็นตัวชี้วัดความน่าเชื่อถือของผู้ให้บริการได้อย่างดี สุดท้าย การทดสอบจริง (Benchmark + Trial) คือขั้นตอนที่ขาดไม่ได้ เพราะสเปกบนกระดาษไม่เคยบอกความจริงทั้งหมด การรันโมเดลจริง โหลดข้อมูลจริง และดูพฤติกรรมระบบในสถานการณ์จำลอง จะช่วยให้ทีมตัดสินใจได้อย่างมั่นใจมากขึ้นว่าระบบนั้นรองรับงานของตนได้จริงหรือไม่ 📌 สรุปประเด็นสำคัญ ✅ ความหมายของต้นทุนที่แท้จริง ➡️ ราคาถูกอาจซ่อนข้อจำกัด เช่น ฮาร์ดแวร์เก่า หรือการตั้งค่าที่ไม่ยืดหยุ่น ➡️ ค่าใช้จ่ายที่แท้จริงคือ “ประสิทธิภาพที่ใช้งานได้จริง” ไม่ใช่แค่ตัวเลขบนใบเสนอราคา ‼️ ความเสี่ยงจากการเลือกโฮสติ้งราคาต่ำ ⛔ อาจเกิด Downtime บ่อย ทำให้เสียเวลาการทำงาน ⛔ ทีมวิศวกรต้องเสียเวลาแก้ปัญหาแทนที่จะพัฒนาผลิตภัณฑ์ ✅ ความปลอดภัยของระบบเป็นหัวใจหลัก ➡️ ควรมีการแยก GPU อย่างเหมาะสมเพื่อป้องกัน Cross‑Tenant Access ➡️ ต้องรองรับ Firewall Rules, การจำกัดพอร์ต และการเข้ารหัสข้อมูล ‼️ ความเสี่ยงด้านข้อมูล ⛔ หากไม่มีการเข้ารหัส อาจเสี่ยงต่อการรั่วไหลของโมเดลหรือข้อมูลสำคัญ ⛔ การตั้งค่าความปลอดภัยที่ไม่ดีอาจเปิดช่องให้ถูกโจมตีทางเครือข่าย ✅ ความเสถียรและคุณภาพการซัพพอร์ต ➡️ ผู้ให้บริการที่ดีควรมีนโยบาย Uptime ชัดเจน ➡️ ทีมซัพพอร์ตที่ตอบเร็วช่วยลดผลกระทบจากเหตุขัดข้อง ‼️ ความเสี่ยงจากซัพพอร์ตที่ไม่พร้อม ⛔ ปัญหาเล็กอาจกลายเป็นวิกฤตหากไม่มีผู้ช่วยเหลือทันที ⛔ การขาดเอกสารหรือ Knowledge Base ทำให้แก้ปัญหาได้ช้าลง ✅ ความยืดหยุ่นของสถาปัตยกรรม ➡️ รองรับทั้ง Vertical Scaling และ Horizontal Scaling ➡️ ควรให้สิทธิ์ Root Access และรองรับ Custom Drivers ‼️ ความเสี่ยงจากระบบที่ขยายไม่ได้ ⛔ เมื่อโหลดเพิ่มขึ้น อาจต้องย้ายระบบใหม่ทั้งหมด ⛔ ทำให้เสียเวลาและต้นทุนสูงขึ้นในระยะยาว ✅ ความสำคัญของการทดสอบจริง ➡️ Benchmark ช่วยเปิดเผยปัญหาที่สเปกบนกระดาษไม่เคยบอก ➡️ การทดสอบด้วยโมเดลจริงช่วยประเมินเสถียรภาพภายใต้โหลดจริง ‼️ ความเสี่ยงหากไม่ทดสอบก่อนใช้งานจริง ⛔ อาจเจอปัญหาคอขวดหลัง Deploy ⛔ ทำให้ต้องแก้ไขระบบใหม่ทั้งชุดในภายหลัง https://securityonline.info/how-to-select-a-secure-hosting-platform-for-high-performance-applications/

Strategic Roadmap for Liberalizing Thailand’s Electricity Distribution Market : Part 7 Date : 7 January 2026 ### 10) Policy Decision Points To move decisively, the Energy Ministry should make (and publicly communicate) five clear decisions: 1. Thailand will keep distribution networks as regulated infrastructure, but open them under nondiscriminatory access rules. 2. MEA/PEA will transition to neutral DSO roles with performance-based incentives. 3. Retail competition will be phased, starting with large customers tied to investment competitiveness and clean procurement needs. 4. Sandbox pilots (including P2P concepts) will be scaled only through standardized market rules and digital settlement infrastructure. 5. Social policy will be protected through explicit, transparent mechanisms—not hidden cross-subsidies. End—————————————————————————————————————————————————— #DistributionMarketReform #Thaitimes #ManagerOnline #News1

📌🔐🩷 รวมข่าวจากเวบ SecurityOnline 🩷🔐📌 #รวมข่าวIT #20260106 #securityonline 🔐 Riot Games ล่มยาวเพราะใบรับรอง SSL หมดอายุ Riot Games เผชิญเหตุระบบล่มครั้งใหญ่เมื่อใบรับรอง SSL หมดอายุ ทำให้ผู้เล่น League of Legends ไม่สามารถเชื่อมต่อเซิร์ฟเวอร์ได้หลายชั่วโมง โดยปัญหานี้เคยเกิดขึ้นมาแล้วเมื่อ 10 ปีก่อนและยังไม่ถูกแก้ไขอย่างยั่งยืน แม้ทีมงานจะเร่งออกใบรับรองใหม่และกู้ระบบกลับมาได้ แต่ผู้เล่นบางส่วนยังพบข้อความผิดพลาดและต้องอัปเดตไคลเอนต์หรือรีสตาร์ตเครื่องเพื่อใช้งานได้ตามปกติ 🔗 https://securityonline.info/riot-games-login-outage-traced-to-expired-ssl-certificate 💻 Microsoft เตรียมยุติ Windows 11 SE ทำให้โรงเรียนต้องหาทางเลือกใหม่ Microsoft ยืนยันว่าจะหยุดสนับสนุน Windows 11 SE ในปี 2026 ส่งผลให้โรงเรียนที่ใช้งานระบบนี้ต้องเผชิญความเสี่ยงด้านความปลอดภัยหากไม่อัปเกรดหรือเปลี่ยนอุปกรณ์ใหม่ เนื่องจากฮาร์ดแวร์ที่มาพร้อม Windows 11 SE ส่วนใหญ่มีสเปกต่ำ ไม่รองรับ Windows 11 รุ่นเต็ม ทำให้หลายสถาบันอาจต้องย้ายไปใช้ Chromebook หรือ iPad แทน 🔗 https://securityonline.info/the-chromebook-killer-fails-microsoft-to-kill-windows-11-se-in-2026 🛡️ พบช่องโหว่ใหม่ใน macOS (CVE-2025-43530) ทำให้ระบบอัตโนมัติรันคำสั่งได้โดยไม่ต้องขอสิทธิ์ นักวิจัยพบช่องโหว่ร้ายแรงในระบบ TCC ของ macOS ที่ทำให้ผู้โจมตีสามารถใช้ช่องโหว่ใน ScreenReader.framework เพื่อรัน AppleScript และควบคุมเครื่องได้โดยไม่ต้องผ่านหน้าต่างขออนุญาต โดยอาศัยการหลอกระบบให้เชื่อว่าเป็นโปรเซสที่เชื่อถือได้ Apple ได้ออกแพตช์แก้ไขแล้วใน macOS Tahoe, Sonoma, Sequoia และ iOS/iPadOS เวอร์ชันล่าสุด ผู้ใช้ควรอัปเดตทันที 🔗 https://securityonline.info/new-tcc-bypass-cve-2025-43530-exposes-macos-to-unchecked-automation ⚠️ รายงานช่องโหว่ Stack Buffer Overflow ใน Net-SNMP snmptrapd (ต้องเป็นผู้สนับสนุนจึงอ่านเต็มได้) มีการเปิดเผยช่องโหว่ Stack Buffer Overflow ใน snmptrapd ของ Net-SNMP ซึ่งอาจนำไปสู่การรันโค้ดจากระยะไกล (RCE) ได้ แต่เนื้อหารายละเอียดเชิงลึกถูกจำกัดให้เฉพาะผู้สนับสนุนเท่านั้น อย่างไรก็ตาม ช่องโหว่นี้ถูกจัดเป็นความเสี่ยงสูงและควรจับตาการอัปเดตแพตช์จากผู้พัฒนา 🔗 https://securityonline.info/researcher-details-stack-buffer-overflow-flaw-in-net-snmp-snmptrapd-with-poc 🛡️ Attacking from Within: ช่องโหว่ ColdFusion เปิดทางแอดมินโจมตีผ่าน Remote Share Adobe ออกแพตช์อุดช่องโหว่ร้ายแรงใน ColdFusion หลังนักวิจัยพบว่าผู้ที่มีสิทธิ์เข้า CFAdmin สามารถใช้ฟีเจอร์ “Package & Deploy” ร่วมกับ UNC path เพื่อดึงไฟล์ CAR อันตรายจาก SMB ภายนอกและติดตั้ง web shell ลงเซิร์ฟเวอร์ได้ ทำให้การเข้าถึงแอดมินเพียงอย่างเดียวสามารถนำไปสู่การยึดระบบเต็มรูปแบบได้ จึงแนะนำให้อัปเดตแพตช์ล่าสุดและป้องกันการเข้าถึง CFAdmin อย่างเข้มงวด 🔗 https://securityonline.info/attacking-from-within-how-adobe-coldfusion-admins-can-weaponize-remote-shares 📂 CVE-2025-66518: ช่องโหว่ Apache Kyuubi เปิดทางอ่านไฟล์บนเซิร์ฟเวอร์ Apache Kyuubi แก้ไขช่องโหว่ระดับสูงที่ทำให้ผู้ใช้สามารถหลบการตรวจสอบ allow-list ของไดเรกทอรีได้ เนื่องจากระบบไม่ทำ path normalization อย่างถูกต้อง ส่งผลให้ผู้โจมตีเข้าถึงไฟล์ภายในเซิร์ฟเวอร์ที่ไม่ควรถูกอ่านได้ โดยเวอร์ชันที่ได้รับผลกระทบคือ 1.6.0 ถึง 1.10.2 และควรอัปเดตเป็น 1.10.3 ทันทีเพื่อปิดช่องโหว่นี้ 🔗 https://securityonline.info/cve-2025-66518-high-severity-flaw-in-apache-kyuubi-exposes-local-server-files 🗺️ Apache SIS อุดช่องโหว่ XXE ที่ทำให้ไฟล์ภายในรั่วไหลผ่าน XML Apache SIS พบช่องโหว่ XXE ที่เปิดโอกาสให้ผู้โจมตีสร้างไฟล์ XML พิเศษเพื่อหลอกให้ระบบอ่านและส่งคืนข้อมูลไฟล์ภายในเซิร์ฟเวอร์ เช่น config หรือ password file โดยกระทบหลายฟอร์แมต เช่น GeoTIFF, ISO 19115, GML และ GPX ซึ่งมีผลกับเวอร์ชัน 0.4 ถึง 1.5 และได้รับการแก้ไขแล้วในเวอร์ชัน 1.6 🔗 https://securityonline.info/apache-sis-patch-blocks-xml-attack-that-leaks-server-files 🧪 macOS Developers Under Attack: GlassWorm Wave 4 โจมตีผ่าน VS Code Extensions แคมเปญ GlassWorm ระลอกที่ 4 เปลี่ยนเป้าหมายจาก Windows มาสู่ macOS โดยซ่อน payload ที่เข้ารหัส AES-256-CBC ไว้ในส่วนขยาย VS Code และตั้งเวลาให้ทำงานหลังติดตั้ง 15 นาทีเพื่อหลบ sandbox พร้อมความสามารถใหม่ที่อันตรายกว่าเดิมคือการแทนที่แอปกระเป๋าเงินฮาร์ดแวร์อย่าง Ledger และ Trezor ด้วยเวอร์ชันปลอม ทำให้ผู้พัฒนาบน macOS โดยเฉพาะสาย crypto เสี่ยงถูกยึดระบบและทรัพย์สินดิจิทัล 🔗 https://securityonline.info/macos-developers-in-the-crosshairs-glassworms-wave-4-exploits-vs-code-to-trojanize-hardware-wallets ⚠️ Aiohttp ออกแพตช์อุดช่องโหว่ 7 รายการ รวมถึง DoS รุนแรงสูง Aiohttp ออกอัปเดตเวอร์ชัน 3.13.3 เพื่อแก้ไขช่องโหว่ 7 รายการที่เสี่ยงทำให้เซิร์ฟเวอร์ล่ม ตั้งแต่ DoS ระดับรุนแรงสูงที่ผู้โจมตีสามารถส่ง POST พิเศษเพื่อกินหน่วยความจำจนระบบค้าง (CVE-2025-69228) ไปจนถึงบั๊กที่ทำให้เกิดลูปไม่สิ้นสุดเมื่อ Python ถูกเปิดโหมด optimize (CVE-2025-69227) รวมถึงช่องโหว่อื่นอย่างการโจมตีด้วย chunked message ที่ทำให้ CPU ถูกใช้งานหนัก การส่ง cookie ผิดรูปแบบเพื่อถล่ม log การลักลอบส่ง request แบบ smuggling ผ่านอักขระ non‑ASCII และการเดาเส้นทางไฟล์ภายในเซิร์ฟเวอร์ผ่าน web.static() โดยช่องโหว่ทั้งหมดกระทบเวอร์ชัน 3.13.2 ลงไป และผู้พัฒนาถูกแนะนำให้อัปเดตเป็น 3.13.3 ทันทีเพื่อปิดความเสี่ยงเหล่านี้ ​​​​​​​🔗 https://securityonline.info/aiohttp-patches-seven-vulnerabilities-including-high-severity-dos-risks/

Strategic Roadmap for Liberalizing Thailand’s Electricity Distribution Market : Part 6 Date : 6 January 2026 ### 8) A Sequenced Implementation Roadmap **Year 1 : Rulemaking + accounting separation** - Finalize enforceable TPA rules and standard contracts consistent with Thailand’s direction toward TPA development. - Require MEA/PEA accounting separation and publish cost allocation methods. - Stand up a compliance function for nondiscrimination monitoring. **Years 2–3 : Large-customer contestability + functional separation** - Enable large customers to choose suppliers/retailers and contract via TPA-enabled arrangements. - Implement functional separation and staff/process firewalls. - Launch a central switching/settlement platform for eligible customers. **Years 4–6 : Expansion to SMEs and households** - Scale switching and consumer protections. - Formalize aggregator participation and flexibility markets informed by sandbox learnings. - Introduce provider-of-last-resort and tighter retail conduct regulation. ### 9) Risks and Mitigations - **Risk: Cost shifting and tariff shock** - Mitigation: Transparent social tariffs funded explicitly; gradual reform; periodic tariff rebalancing. - **Risk: “Cream skimming” of profitable customers** - Mitigation: Universal service obligations; network charge design; POLR mechanism. - **Risk: Discrimination by incumbents** - Mitigation: Functional separation, audits, penalties, and transparent performance reporting. - **Risk: Reliability degradation due to poor settlement rules** - Mitigation: Strong imbalance settlement, technical standards, retailer credit requirements. To be continued————————————————————————————————————————————- #DistributionMarketReform #Thaitimes #ManagerOnline #News1

🔥 ช่องโหว่ร้ายแรง CVE‑2025‑66518 ใน Apache Kyuubi เปิดให้เข้าถึงไฟล์บนเซิร์ฟเวอร์โดยไม่ได้รับอนุญาต ช่องโหว่นี้เกิดจากการที่ Apache Kyuubi ไม่ทำ Path Normalization อย่างถูกต้อง ทำให้ผู้โจมตีสามารถใช้คำสั่งที่มีรูปแบบ ../ เพื่อเข้าถึงไฟล์ที่อยู่นอกเหนือจากไดเรกทอรีที่ถูกอนุญาตใน kyuubi.session.local.dir.allow.list ได้ แม้ผู้ดูแลระบบจะตั้งค่าจำกัดไว้แล้วก็ตาม ผลลัพธ์คือ ผู้ใช้ที่มีสิทธิ์เพียงเล็กน้อย (Low Privilege) แต่สามารถเชื่อมต่อผ่าน Kyuubi frontend protocols จะสามารถอ่านไฟล์ภายในเซิร์ฟเวอร์ที่ไม่ควรเข้าถึงได้ เช่น ไฟล์คอนฟิก ไฟล์ระบบ หรือข้อมูลสำคัญอื่น ๆ ซึ่งอาจนำไปสู่การยกระดับสิทธิ์ (Privilege Escalation) หรือการเตรียมโจมตีขั้นต่อไปได้ ช่องโหว่นี้ส่งผลกระทบต่อ Apache Kyuubi เวอร์ชัน 1.6.0 ถึง 1.10.2 และได้รับการแก้ไขแล้วในเวอร์ชัน 1.10.3 ขึ้นไป ผู้ดูแลระบบจึงควรอัปเดตทันทีเพื่อปิดช่องโหว่ดังกล่าว นอกจากนี้ Apache ยังระบุว่าเป็นช่องโหว่ประเภท Path Traversal (CWE‑27) ซึ่งเป็นรูปแบบการโจมตีที่พบได้บ่อยในระบบที่จัดการไฟล์ไม่รัดกุม ด้วยคะแนนความรุนแรง CVSS 8.8 (High Severity) ช่องโหว่นี้ถือเป็นความเสี่ยงสำคัญสำหรับองค์กรที่ใช้ Kyuubi ในงาน Big Data, Spark, หรือระบบวิเคราะห์ข้อมูลแบบ Multi‑tenant ซึ่งมักมีผู้ใช้หลายระดับสิทธิ์ร่วมกันในระบบเดียว ทำให้โอกาสถูกโจมตีจากผู้ใช้ภายในเพิ่มสูงขึ้นอย่างมาก 📌 สรุปประเด็นสำคัญ ✅ รายละเอียดช่องโหว่ ➡️ ชนิดช่องโหว่: Path Traversal (CWE‑27) ➡️ ผู้โจมตีสามารถเข้าถึงไฟล์ที่อยู่นอก allow‑list ได้ ➡️ เกิดจากการไม่ normalize path อย่างถูกต้อง ✅ เวอร์ชันที่ได้รับผลกระทบ ➡️ Apache Kyuubi 1.6.0 – 1.10.2 ‼️ ความเสี่ยงที่ต้องระวัง ⛔ การเข้าถึงไฟล์สำคัญบนเซิร์ฟเวอร์ ⛔ ความเสี่ยงต่อ Privilege Escalation ⛔ อาจถูกใช้เป็นจุดเริ่มต้นของการโจมตีขั้นสูง ✅ วิธีป้องกัน ➡️ อัปเดตเป็น Kyuubi 1.10.3 หรือสูงกว่า ทันที ➡️ ตรวจสอบการตั้งค่า allow‑list และสิทธิ์ผู้ใช้ ➡️ เปิดระบบ Logging เพื่อตรวจจับการเข้าถึงไฟล์ผิดปกติ https://securityonline.info/cve-2025-66518-high-severity-flaw-in-apache-kyuubi-exposes-local-server-files/

🔐 MediaTek เปิดปี 2026 ด้วยการยกเครื่องความปลอดภัยครั้งใหญ่สำหรับชิปมือถือ MediaTek เปิดศักราชใหม่ด้วยการออก Security Bulletin เดือนมกราคม 2026 ซึ่งเป็นหนึ่งในการอัปเดตด้านความปลอดภัยครั้งใหญ่ที่สุดของบริษัท ครอบคลุมช่องโหว่จำนวนมากในชิปเซ็ตมือถือและ IoT หลายรุ่น โดยเฉพาะช่องโหว่ระดับร้ายแรงสูงในส่วนของ Modem Firmware ที่เกี่ยวข้องกับการสื่อสารเครือข่ายมือถือ ซึ่งเป็นหัวใจสำคัญของสมาร์ตโฟนยุคปัจจุบัน รายงานระบุว่าช่องโหว่หลายรายการสามารถทำให้เครื่อง ค้าง, รีบูต, สูญเสียสัญญาณ หรือแม้แต่เปิดช่องให้รันโค้ดอันตราย (Arbitrary Code Execution) ได้ หากถูกโจมตีจากสัญญาณเครือข่ายที่ประดิษฐ์ขึ้นโดยผู้ไม่หวังดี แม้ MediaTek จะยืนยันว่ายังไม่พบการโจมตีจริงในโลกภายนอก แต่ความร้ายแรงของช่องโหว่ทำให้ผู้ผลิตมือถือ Android ต้องรีบออกแพตช์ตามทันที หนึ่งในช่องโหว่ที่ถูกจับตามากที่สุดคือ CVE‑2025‑20794 (Stack Overflow) และ CVE‑2025‑20793 (Null Pointer Dereference) ซึ่งส่งผลต่อชิปเซ็ตจำนวนมาก รวมถึงตระกูล Dimensity ที่ใช้ในสมาร์ตโฟนระดับกลางถึงเรือธง นอกจากนี้ยังมีช่องโหว่ Out‑of‑Bounds Write (CVE‑2025‑20795) ในระบบ KeyInstall ซึ่งอาจทำให้หน่วยความจำสำคัญถูกเขียนทับได้ นอกเหนือจากช่องโหว่ระดับสูง ยังมีช่องโหว่ระดับกลางอีกหลายสิบรายการในส่วนของ Display, Graphics, Battery, Power และ Deep Processing Engine (DPE) ซึ่งอาจนำไปสู่ปัญหาอย่าง Use‑After‑Free, Double‑Free, Integer Overflow และการคอร์รัปชันของหน่วยความจำในหลายกรณี ทำให้การอัปเดตครั้งนี้มีความสำคัญอย่างยิ่งสำหรับผู้ผลิตอุปกรณ์ทุกรายที่ใช้ชิป MediaTek 📌 สรุปประเด็นสำคัญ ✅ ช่องโหว่ระดับร้ายแรงที่ถูกแก้ไข ➡️ CVE‑2025‑20794 – Stack Overflow ในโมเด็ม ➡️ CVE‑2025‑20793 – Null Pointer Dereference ➡️ CVE‑2025‑20795 – Out‑of‑Bounds Write ใน KeyInstall ➡️ ส่งผลต่อชิปหลายรุ่น รวมถึง Dimensity รุ่นยอดนิยม ‼️ ความเสี่ยงที่ต้องระวัง ⛔ อาจทำให้เครื่องค้างหรือรีบูตเอง ⛔ เสี่ยงต่อการรันโค้ดอันตรายผ่านสัญญาณเครือข่าย ⛔ อุปกรณ์ IoT ที่ไม่ได้อัปเดตมีความเสี่ยงสูง ✅ การอัปเดตด้านความปลอดภัยเพิ่มเติม ➡️ แก้ไขช่องโหว่ระดับกลางจำนวนมากใน Display, Graphics, Battery และ DPE ➡️ ป้องกันปัญหา Use‑After‑Free, Double‑Free และ Integer Overflow ➡️ ครอบคลุมชิปเซ็ตหลายรุ่นตั้งแต่รุ่นเก่าไปจนถึงรุ่นใหม่ ‼️ คำแนะนำสำหรับผู้ใช้และผู้ผลิต ⛔ ผู้ผลิต Android ต้องรีบปล่อยแพตช์ตาม MediaTek ⛔ ผู้ใช้ควรอัปเดตระบบทันทีเมื่อมีแพตช์ OTA ⛔ อุปกรณ์ที่หยุดซัพพอร์ตอาจยังคงมีความเสี่ยง https://securityonline.info/mediatek-kicks-off-2026-with-major-security-overhaul-for-mobile-chipsets/

🧨 ช่องโหว่การโจมตีจากภายใน: ผู้ดูแล Adobe ColdFusion สามารถใช้ Remote Shares เป็นอาวุธได้ งานวิจัยด้านความปลอดภัยล่าสุดเปิดเผยว่า ผู้ดูแลระบบ (Admin) ของ Adobe ColdFusion สามารถใช้สิทธิ์ของตนเองโจมตีระบบจากภายในได้ โดยอาศัยการเชื่อมต่อ Remote File Shares ซึ่งเป็นฟีเจอร์ที่มีอยู่ใน ColdFusion อยู่แล้ว จุดอ่อนนี้ไม่ได้เป็น “ช่องโหว่” แบบผิดพลาดของซอฟต์แวร์ แต่เป็น “การออกแบบที่เสี่ยง” ซึ่งเปิดโอกาสให้ผู้ดูแลที่ไม่หวังดีสามารถใช้สิทธิ์ของตนเพื่อเข้าถึงไฟล์หรือรันโค้ดบนระบบอื่นได้อย่างง่ายดาย ปัญหาหลักเกิดจากความสามารถของ ColdFusion ที่อนุญาตให้ Admin เพิ่ม Remote Share แล้วนำไฟล์จากปลายทางนั้นมาใช้ในแอปพลิเคชัน เช่น การ include โค้ด, โหลดสคริปต์, หรือรันไฟล์ CFM จากเครื่องอื่น หากผู้ดูแลมีเจตนาร้าย พวกเขาสามารถชี้ไปยัง Share ที่ควบคุมเอง แล้วสั่งให้ ColdFusion รันโค้ดอันตรายได้ทันที โดยไม่ต้องเจาะระบบใด ๆ เพิ่มเติม เพราะสิทธิ์ Admin มีอยู่แล้ว ผลกระทบที่ตามมาคือ ผู้ดูแลสามารถใช้ ColdFusion เป็น “ตัวกลางโจมตี” ไปยังระบบอื่นในเครือข่าย เช่น การรัน Payload, การขโมยข้อมูล, การวาง WebShell หรือแม้แต่การเคลื่อนย้ายภายใน (Lateral Movement) ไปยังเซิร์ฟเวอร์อื่น ๆ ที่เชื่อมต่อกันอยู่ ทำให้ความเสียหายขยายวงกว้างได้อย่างรวดเร็ว ผู้เชี่ยวชาญเตือนว่าองค์กรจำนวนมากมัก “ไว้ใจ Admin มากเกินไป” และลืมว่าการออกแบบระบบที่ให้สิทธิ์สูงโดยไม่มีการตรวจสอบหรือจำกัดขอบเขต อาจทำให้เกิดการโจมตีจากภายในได้ง่ายกว่าการโจมตีจากภายนอกเสียอีก แนวทางป้องกันจึงไม่ใช่เพียงการแพตช์ แต่ต้องออกแบบกระบวนการควบคุมสิทธิ์และตรวจสอบการใช้งานของผู้ดูแลอย่างเข้มงวด 📌 สรุปประเด็นสำคัญ ✅ สิ่งที่เกิดขึ้น ➡️ ColdFusion อนุญาตให้ Admin เพิ่ม Remote File Shares ได้ ➡️ สามารถโหลดหรือรันโค้ดจาก Share ภายนอกได้โดยตรง ➡️ ฟีเจอร์นี้ถูกนำไปใช้เป็นช่องทางโจมตีจากภายในได้ ✅ ผลกระทบ ➡️ ผู้ดูแลสามารถรันโค้ดอันตรายผ่าน ColdFusion ได้ ➡️ อาจถูกใช้เพื่อ Lateral Movement ไปยังเซิร์ฟเวอร์อื่น ➡️ ColdFusion กลายเป็นตัวกลางแพร่กระจาย Payload ‼️ ความเสี่ยงที่ต้องระวัง ⛔ การโจมตีจาก “คนในองค์กร” มักตรวจจับได้ยาก ⛔ การให้สิทธิ์ Admin โดยไม่มีการตรวจสอบเป็นช่องโหว่เชิงนโยบาย ⛔ ระบบที่เชื่อมต่อกันหลายเครื่องยิ่งเสี่ยงถูกโจมตีแบบลูกโซ่ ✅ แนวทางป้องกัน ➡️ จำกัดสิทธิ์ Admin เฉพาะงานที่จำเป็น ➡️ เปิดใช้ Logging และตรวจสอบการเพิ่ม Remote Shares ➡️ แยกเครือข่าย (Network Segmentation) เพื่อลดผลกระทบ https://securityonline.info/attacking-from-within-how-adobe-coldfusion-admins-can-weaponize-remote-shares/

🛡️ ช่องโหว่ใหม่ CVE‑2025‑43530 ทำ macOS เสี่ยงถูกควบคุมเครื่องแบบไร้การอนุญาต ช่องโหว่ใหม่ที่ถูกเปิดเผยใน macOS ภายใต้รหัส CVE‑2025‑43530 ทำให้ระบบป้องกันความเป็นส่วนตัวของ Apple หรือ TCC (Transparency, Consent, and Control) ถูกเจาะทะลุอีกครั้ง โดยนักวิจัยด้านความปลอดภัย Mickey Jin พบว่ามีจุดอ่อนใน ScreenReader.framework ซึ่งเกี่ยวข้องกับฟีเจอร์ VoiceOver ทำให้ผู้โจมตีสามารถสั่งงานระบบได้โดยไม่ต้องผ่านหน้าต่างขออนุญาตใด ๆ แก่นของปัญหาอยู่ที่บริการ com.apple.scrod ซึ่งใช้ตรวจสอบความน่าเชื่อถือของโปรเซสที่ร้องขอสิทธิ์ แต่ระบบตรวจสอบนี้มีข้อบกพร่องสองจุด ได้แก่ การเชื่อใจไฟล์ที่มีลายเซ็น Apple มากเกินไป และช่องโหว่แบบ TOCTOU (Time-of-Check Time-of-Use) ที่เปิดโอกาสให้ผู้โจมตีสลับไฟล์ระหว่างการตรวจสอบได้ ทำให้สามารถแอบอ้างเป็นโปรเซสที่ถูกต้องได้ง่ายขึ้น เมื่อผู้โจมตีหลอกระบบสำเร็จ พวกเขาจะสามารถใช้ AppleScript เพื่อควบคุมเครื่องได้เสมือนเป็น “ผู้ใช้เงา” เช่น สั่ง Finder, เปิดไฟล์, เข้าถึงข้อมูลส่วนตัว หรือแม้แต่ดึงข้อมูลที่ปกติถูกป้องกันโดย TCC เช่น รูปภาพ รายชื่อผู้ติดต่อ หรือข้อมูลตำแหน่ง โดยที่ผู้ใช้ไม่รู้ตัวเลยแม้แต่น้อย Apple ได้ออกแพตช์แก้ไขแล้ว โดยระบุว่าได้ “ปรับปรุงการตรวจสอบ” เพื่อปิดช่องโหว่นี้ ผู้ใช้ macOS ทุกคนจึงควรอัปเดตทันทีเพื่อป้องกันการถูกโจมตีผ่านช่องโหว่ดังกล่าว ซึ่งมีโค้ดตัวอย่างถูกเผยแพร่สู่สาธารณะแล้ว ทำให้ความเสี่ยงเพิ่มสูงขึ้นอย่างมาก 📌 สรุปประเด็นสำคัญ ✅ ช่องโหว่และสาเหตุ ➡️ เกิดจากจุดอ่อนใน ScreenReader.framework และบริการ com.apple.scrod ➡️ ระบบเชื่อใจไฟล์ที่มีลายเซ็น Apple มากเกินไป ➡️ มีช่องโหว่แบบ TOCTOU ทำให้สลับไฟล์ระหว่างตรวจสอบได้ ✅ ผลกระทบ ➡️ ผู้โจมตีสามารถรัน AppleScript โดยไม่ต้องขออนุญาต ➡️ เข้าถึงข้อมูลส่วนตัว เช่น รูปภาพ รายชื่อ หรือข้อมูลตำแหน่ง ➡️ ควบคุมเครื่องได้เหมือนเป็นผู้ใช้จริง ‼️ ความเสี่ยงที่ต้องระวัง ⛔ โค้ดโจมตีถูกเผยแพร่แล้ว ทำให้ความเสี่ยงเพิ่มขึ้น ⛔ อาจถูกใช้ร่วมกับมัลแวร์เพื่อควบคุมเครื่องแบบเงียบ ๆ ⛔ ผู้ใช้ที่ไม่อัปเดต macOS เสี่ยงถูกเจาะระบบสูงมาก ✅ วิธีป้องกัน ➡️ อัปเดต macOS เป็นเวอร์ชันล่าสุดทันที ➡️ หลีกเลี่ยงการรันไฟล์หรือแอปที่ไม่รู้จัก ➡️ ตรวจสอบสิทธิ์ Accessibility และ Automation ใน System Settings https://securityonline.info/new-tcc-bypass-cve-2025-43530-exposes-macos-to-unchecked-automation/

📌🔐🟡 รวมข่าวจากเวบ SecurityOnline 🟡🔐📌 #รวมข่าวIT #20260105 #securityonline 🧠 Systems over Slop: วิสัยทัศน์ AI ปี 2026 ของ Satya Nadella จุดกระแส “Microslop” Nadella ประกาศแนวคิดใหม่ผลักดันอุตสาหกรรม AI จากการแข่งขัน “โมเดลใหญ่แค่ไหน” ไปสู่ยุค “ระบบที่ทำงานจริง” พร้อมชี้ว่า AI ควรเป็นโครงช่วยเสริมศักยภาพมนุษย์มากกว่าผลิตคอนเทนต์ไร้คุณภาพ แต่คำพูดเรื่อง “slop” กลับจุดกระแสวิจารณ์หนักบนโซเชียล โดยผู้ใช้จำนวนมากมองว่า Microsoft ควรแก้ปัญหา Copilot ที่ยังให้ข้อมูลผิดพลาดก่อนจะพูดเรื่องคุณภาพ AI ทำให้แฮชแท็ก “Microslop” ติดเทรนด์ ขณะที่ทิศทางใหม่ของ Microsoft มุ่งสร้าง AI แบบตัวแทน (agent) ที่ทำงานร่วมกับแอปต่าง ๆ เพื่อเพิ่มประโยชน์จริงในชีวิตประจำวัน 🔗 https://securityonline.info/systems-over-slop-nadellas-2026-ai-vision-sparks-microslop-revolt 🎮 PS5 สะเทือน: คีย์ BootROM หลุด ทำระบบความปลอดภัยพังแบบแก้ไม่ได้ แฮ็กเกอร์ไม่ทราบชื่อปล่อยคีย์ BootROM ของ PS5 ซึ่งเป็นหัวใจสำคัญของระบบความปลอดภัยระดับฮาร์ดแวร์ ทำให้ผู้เชี่ยวชาญสามารถเจาะลึกสถาปัตยกรรมเครื่องและอาจนำไปสู่การสร้างเฟิร์มแวร์ดัดแปลงหรือรันเกมแบบไม่จำกัดในอนาคต แม้ Sony จะออกคีย์ใหม่ในรุ่นผลิตถัดไปได้ แต่เครื่องที่ขายไปแล้วไม่สามารถแก้ไขได้ ทำให้การรั่วครั้งนี้ถือเป็นหนึ่งในเหตุการณ์ด้านความปลอดภัยที่ร้ายแรงที่สุดของคอนโซลยุคใหม่ 🔗 https://securityonline.info/the-unpatchable-leak-sonys-ps5-security-crumples-as-bootrom-keys-hit-the-web 💰 Bitfinex Hacker: Ilya Lichtenstein ได้รับอิสรภาพก่อนกำหนดจากกฎหมายยุค Trump Ilya Lichtenstein แฮ็กเกอร์ผู้อยู่เบื้องหลังการขโมย Bitcoin ครั้งใหญ่ของ Bitfinex ในปี 2016 ถูกปล่อยตัวก่อนกำหนดหลังรับโทษเพียงหนึ่งปีจากโทษจำคุกห้าปี อันเป็นผลจากกฎหมายปฏิรูปกระบวนการยุติธรรมที่ลงนามโดยประธานาธิบดี Trump โดยเขายอมรับผิดทั้งหมดเพื่อปกป้องภรรยา และหลังได้รับอิสรภาพประกาศว่าจะหันมาทำงานด้านความปลอดภัยไซเบอร์เพื่อชดเชยสังคม 🔗 https://securityonline.info/the-hacker-returns-bitfinex-mastermind-ilya-lichtenstein-freed-early-via-trump-law 📱 Telegram เปิดปี 2026 ด้วยฟีเจอร์สรุปโพสต์ด้วย AI ผ่านเครือข่าย Cocoon Telegram อัปเดตใหม่บน iOS เพิ่มฟีเจอร์สรุปเนื้อหายาวในช่องด้วย AI ที่ประมวลผลผ่านเครือข่าย Cocoon แบบกระจายศูนย์ เน้นความเป็นส่วนตัวด้วยการเข้ารหัสทุกคำขอก่อนส่ง พร้อมปรับปรุงเอฟเฟกต์ Liquid Glass ให้สวยงามและลื่นไหลยิ่งขึ้น แม้ Android และ Windows จะยังไม่ได้ฟีเจอร์นี้ แต่คาดว่าจะตามมาในอนาคต 🔗 https://securityonline.info/private-intelligence-telegrams-2026-update-brings-ai-summaries-via-the-cocoon-network ⚠️ CVE-2026-21440: ช่องโหว่ร้ายแรงใน AdonisJS เปิดทางเขียนไฟล์ทับและรันโค้ดบนเซิร์ฟเวอร์ พบช่องโหว่ระดับวิกฤตใน AdonisJS โดยเฉพาะแพ็กเกจ bodyparser ที่ยอมให้ผู้โจมตีอัปโหลดไฟล์พร้อมชื่อที่มี path traversal ทำให้สามารถเขียนไฟล์ไปยังตำแหน่งสำคัญของระบบ และอาจนำไปสู่การรันโค้ด (RCE) ได้ ผู้พัฒนาถูกแนะนำให้อัปเดตเป็นเวอร์ชันล่าสุดทันทีเพื่อปิดช่องโหว่ 🔗 https://securityonline.info/cve-2026-21440-new-adonisjs-9-2-critical-flaw-allows-arbitrary-file-writes-and-rce 🕵️‍♂️ Sliver C2 โผล่ในปฏิบัติการเจาะ FortiWeb เจาะลึกเหยื่อกว่า 30 รายใน 8 วัน รายงานเผยกลุ่มผู้โจมตีใช้ช่องโหว่ React2Shell เพื่อฝัง Sliver C2 ลงในอุปกรณ์ FortiWeb พร้อมใช้เทคนิคพรางตัว เช่น FRP และ microsocks ที่ถูกปลอมเป็นบริการพิมพ์ CUPS เพื่อซ่อนทราฟฟิก ทำให้สามารถเข้าถึงระบบองค์กรในบังกลาเทศและปากีสถานได้อย่างแนบเนียน โดยแคมเปญนี้ชี้ให้เห็นช่องโหว่ใหญ่ของอุปกรณ์ edge ที่ขาดระบบตรวจจับภัยคุกคามในตัว https://securityonline.info/sliver-in-the-stack-exposed-logs-reveal-targeted-fortiweb-exploitation-campaign 👻 VVS Stealer มัลแวร์ล่องหน ใช้ Pyarmor ซ่อนโค้ดก่อนขโมยบัญชี Discord มัลแวร์ VVS Stealer ที่ถูกขายใน Telegram ใช้ Pyarmor เพื่อเข้ารหัสโค้ด Python ทำให้สแกนไม่เจอ ก่อนจะฉีดโค้ดลงในแอป Discord เพื่อขโมยโทเคน เข้าถึงบัญชี ดูข้อมูลบัตร และดึงข้อมูลจากเบราว์เซอร์กว่า 10 ตัว พร้อมหลอกผู้ใช้ด้วยหน้าต่าง “Fatal Error” ปลอม ทั้งหมดนี้ในราคาขายเพียงหลักสิบยูโร ทำให้ผู้ไม่เชี่ยวชาญก็เข้าถึงเครื่องมือระดับสูงได้ 🔗 https://securityonline.info/the-invisible-predator-how-vvs-stealer-abuses-pyarmor-to-ghost-discord-accounts 📡 CVE-2025-66848: ช่องโหว่ร้ายแรงในเราเตอร์ JD Cloud เปิดทางยึดเครื่องแบบ root พบช่องโหว่ในเราเตอร์ JD Cloud หลายรุ่นที่ปล่อยข้อมูล MAC และ feedid ผ่าน API ทำให้ผู้โจมตีสร้างโทเคนแอดมินปลอมได้ ก่อนใช้ช่องโหว่ command injection ในบริการ DDNS เพื่อเปิด backdoor และยึดสิทธิ์ root แบบเต็มตัว ส่งผลให้ผู้ใช้ตามบ้านและธุรกิจเสี่ยงถูกดักข้อมูลหรือถูกใช้เป็นฐานโจมตีต่อ 🔗 https://securityonline.info/cve-2025-66848-critical-flaw-in-jd-cloud-routers-grants-hackers-root-access 🎭 Transparent Tribe ใช้ไฟล์ JLPT ปลอมล่อเหยื่ออินเดียในแคมเปญจารกรรมแบบ Fileless กลุ่ม APT36 ใช้ไฟล์ LNK ปลอมที่ปลอมตัวเป็น PDF เกี่ยวกับข้อสอบ JLPT เพื่อหลอกเหยื่อในอินเดีย โดยไฟล์จะเรียกใช้ mshta.exe เพื่อรันสคริปต์อันตรายแบบ fileless พร้อมตรวจสอบโปรแกรมแอนติไวรัสในเครื่องและปรับพฤติกรรมให้เหมาะสม ก่อนทำงานเป็น RAT เต็มรูปแบบที่สามารถดึงไฟล์ จับภาพหน้าจอ และขโมยข้อมูลสำคัญได้ 🔗 https://securityonline.info/transparent-tribe-weaponizes-jlpt-tests-in-new-cyber-espionage-campaign-against-india 💳 หลอกต่ออายุโดเมนปลอม: แคมเปญฟิชชิ่ง WordPress ขโมยบัตรเครดิตผ่าน Telegram อีเมลปลอมแจ้งเตือนต่ออายุโดเมนพาเหยื่อไปยังหน้า checkout ปลอมที่เลียนแบบ WordPress อย่างแนบเนียน เก็บข้อมูลบัตรเครดิตและ OTP 3-D Secure แล้วส่งไปยัง Telegram bot ของผู้โจมตี โดยระบบถูกออกแบบให้ “ยืนยันล้มเหลว” เสมอเพื่อหลอกให้เหยื่อกรอก OTP ซ้ำหลายครั้ง เพิ่มโอกาสขโมยธุรกรรมได้สำเร็จ 🔗 https://securityonline.info/new-wordpress-phishing-scam-steals-credit-cards-via-telegram 🧠 OpenAI เล็งซื้อ Pinterest มูลค่า 17 พันล้านดอลลาร์ OpenAI ถูกเผยว่ากำลังพิจารณาเข้าซื้อ Pinterest เพื่อเสริมพลังข้อมูลภาพจำนวนมหาศาล โครงสร้างโฆษณาที่พร้อมใช้งาน และเครือข่ายร้านค้าขนาดใหญ่ ซึ่งจะช่วยยกระดับโมเดลมัลติโหมดและต่อยอดรายได้เชิงพาณิชย์ให้แข็งแกร่งขึ้น โดย Pinterest ถือเป็น “สมุดภาพดิจิทัล” ที่เต็มไปด้วยข้อมูลภาพพร้อมคำอธิบายที่เหมาะอย่างยิ่งต่อการฝึก AI ขนาดใหญ่ และยังช่วยให้ OpenAI แข่งขันกับยักษ์ใหญ่อย่าง Google ได้มั่นคงยิ่งขึ้น 🔗 https://securityonline.info/the-scrapbook-strategy-why-openai-is-betting-17-billion-on-pinterest ⚡ ช่องโหว่ร้ายแรงในซอฟต์แวร์ Eaton UPS เสี่ยงถูกยึดระบบ Eaton ออกประกาศเตือนด่วนเกี่ยวกับช่องโหว่ความปลอดภัยระดับสูงในซอฟต์แวร์ UPS Companion ที่เปิดทางให้ผู้โจมตีสามารถรันโค้ดอันตรายบนเครื่องได้ผ่านปัญหา DLL Hijacking และ Unquoted Search Path โดยช่องโหว่นี้กระทบทุกเวอร์ชันก่อน 3.0 และแนะนำให้ผู้ใช้รีบอัปเดตทันทีเพื่อป้องกันความเสี่ยงต่อระบบไฟฟ้าและอุปกรณ์สำคัญที่เชื่อมต่ออยู่ 🔗 https://securityonline.info/eaton-ups-software-flaws-expose-systems-to-high-risk-code-execution 🕵️‍♂️ DarkSpectre ปฏิบัติการจารกรรมผ่านส่วนขยายเบราว์เซอร์กว่า 8.8 ล้านราย Koi Security เปิดโปงปฏิบัติการสอดแนมไซเบอร์ระดับรัฐชื่อ “DarkSpectre” ที่แฝงตัวในส่วนขยาย Chrome, Edge และ Firefox กว่า 300 ตัวมานานเกือบสิบปี โดยเริ่มจากการทำตัวเหมือนส่วนขยายปกติสะสมผู้ใช้ ก่อนอัปเดตเป็นมัลแวร์เพื่อขโมยข้อมูลประชุมองค์กรและข้อมูลสำคัญอื่น ๆ ซึ่งเชื่อมโยงกับหลายแคมเปญใหญ่ เช่น ShadyPanda และ GhostPoster ทำให้ผู้ใช้หลายล้านรายตกอยู่ในความเสี่ยงโดยไม่รู้ตัว 🔗 https://securityonline.info/the-sleeper-in-your-browser-how-darkspectre-turned-8-8-million-extensions-into-state-aligned-spies 🔓 ช่องโหว่ Zero‑Click ใน PrestaShop เสี่ยงถูกยึดบัญชีจากอีเมลเพียงฉบับเดียว มีการเปิดเผยช่องโหว่ร้ายแรงในระบบ Checkout ของ PrestaShop ที่ทำให้ผู้โจมตีสามารถเข้ายึดบัญชีผู้ใช้ได้เพียงแค่รู้ที่อยู่อีเมล โดยไม่ต้องมีการคลิกหรือโต้ตอบใด ๆ ซึ่งเป็นภัยคุกคามต่อร้านค้าออนไลน์และข้อมูลลูกค้าอย่างมาก พร้อมมีการเผยแพร่ PoC แล้ว ทำให้ความเสี่ยงเพิ่มสูงขึ้นอย่างรวดเร็ว 🔗 https://securityonline.info/zero-click-hijack-the-prestashop-checkout-flaw-that-turns-emails-into-full-account-access-poc-publishes 🌩️ เรื่องเล่าจากโลกไซเบอร์: วันที่ QNAP ต้องเผชิญเงามืด ลองนึกภาพบริษัทผู้ผลิตอุปกรณ์เก็บข้อมูลอย่าง QNAP ที่ปกติทำงานเงียบ ๆ อยู่เบื้องหลัง แต่วันหนึ่งกลับพบสัญญาณผิดปกติในระบบของลูกค้าทั่วโลก ไฟล์บางส่วนถูกเข้าถึงโดยไม่ได้รับอนุญาต เส้นทางข้อมูลบางจุดถูกแก้ไขอย่างแยบยล และมีร่องรอยของการสแกนหาช่องโหว่แบบเป็นระบบ ทีมวิศวกรของ QNAP ต้องระดมกำลังทั้งคืนเพื่อไล่หาต้นตอ จนพบว่ามีช่องโหว่ที่เปิดให้ผู้ไม่หวังดีสามารถเจาะเข้ามาได้หากตั้งค่าระบบไม่รัดกุม พวกเขารีบออกแพตช์ แนะนำวิธีป้องกัน และแจ้งเตือนผู้ใช้ทั่วโลกให้รีบอัปเดต ก่อนที่ความเสียหายจะลุกลามไปมากกว่านี้ เหตุการณ์นี้กลายเป็นบทเรียนสำคัญว่าแม้แต่ระบบที่ดูปลอดภัย ก็ยังต้องเฝ้าระวังและอัปเดตอยู่เสมอ เพราะในโลกไซเบอร์ ไม่มีใครปลอดภัยร้อยเปอร์เซ็นต์ 🔗 https://securityonline.info/qnap-patches-high-severity-sql-injection-and-path-traversal-flaws/

🤖 ทักษะไซเบอร์สำคัญกว่า “จำนวนคน” ในยุค AI: องค์กรต้องเร่งอัปสกิลก่อนถูกโจมตี รายงาน ISC2 Workforce Study ปี 2025 ชี้ให้เห็นการเปลี่ยนแปลงครั้งใหญ่ในวงการความปลอดภัยไซเบอร์ เมื่อ “ช่องว่างทักษะ” กลายเป็นปัญหาหลักที่รุนแรงกว่า “จำนวนบุคลากร” ที่ไม่เพียงพอ องค์กรจำนวนมากแม้จะหยุดลดงบประมาณและชะลอการปลดพนักงานแล้ว แต่ความกดดันกลับเพิ่มขึ้น เพราะบุคลากรที่มีอยู่ยังขาดทักษะสำคัญในการรับมือภัยคุกคามยุคใหม่ สิ่งที่น่าตกใจคือ 88% ของผู้เชี่ยวชาญด้านไซเบอร์ระบุว่าองค์กรของตนเคยเกิดเหตุการณ์ด้านความปลอดภัยอย่างน้อยหนึ่งครั้งเพราะขาดทักษะที่จำเป็น และกว่า 59% ยอมรับว่าช่องว่างทักษะในทีมของตน “รุนแรงหรือวิกฤต” มากขึ้นกว่าเดิมอย่างเห็นได้ชัด นอกจากนี้ องค์กรจำนวนมากยังต้องให้บุคลากรที่ไม่เชี่ยวชาญเข้ามารับผิดชอบงานสำคัญ หรือปล่อยให้บางส่วนของระบบ “ไร้การป้องกัน” เพราะไม่มีคนที่มีความสามารถเพียงพอ ในอีกด้านหนึ่ง AI กลายเป็นทั้งโอกาสและความท้าทาย ผู้เชี่ยวชาญกว่า 69% ระบุว่าองค์กรของตนกำลังทดสอบหรือใช้งาน AI เพื่อเพิ่มประสิทธิภาพด้านความปลอดภัย และกว่า 73% เชื่อว่า AI จะสร้างทักษะเฉพาะทางใหม่ๆ ที่จำเป็นต่ออาชีพนี้ อย่างไรก็ตาม การใช้ AI อย่างมีประสิทธิภาพต้องอาศัยความเข้าใจเชิงลึก ไม่ใช่แค่การกดปุ่มใช้งาน ทำให้การอัปสกิลด้าน AI กลายเป็นสิ่งจำเป็นเร่งด่วนสำหรับบุคลากรทุกระดับ แม้ความกดดันจะสูง แต่รายงานยังเผยด้านบวกว่า 80% ของผู้เชี่ยวชาญยังรู้สึก “หลงใหล” ในงานด้านไซเบอร์ และ 87% เชื่อว่าอาชีพนี้จะยังคงมีความต้องการสูงในระยะยาว อย่างไรก็ตาม ความเหนื่อยล้าจากการต้องตามภัยคุกคามใหม่ๆ และภาระงานที่หนักยังคงเป็นปัญหาที่องค์กรต้องจัดการอย่างจริงจัง เพื่อรักษาบุคลากรที่มีคุณภาพไว้ในระยะยาว 📌 สรุปประเด็นสำคัญ ✅ ช่องว่างทักษะไซเบอร์กำลังรุนแรงขึ้น ➡️ 88% ขององค์กรเคยเกิดเหตุด้านความปลอดภัยเพราะขาดทักษะ ➡️ 59% ระบุว่าช่องว่างทักษะอยู่ในระดับ “รุนแรงหรือวิกฤต” ➡️ องค์กรบางแห่งต้องใช้บุคลากรที่ไม่เชี่ยวชาญมารับงานสำคัญ ✅ AI กลายเป็นทักษะจำเป็นอันดับต้นๆ ➡️ 69% ขององค์กรกำลังใช้งานหรือทดสอบ AI ➡️ 73% เชื่อว่า AI จะสร้างทักษะเฉพาะทางใหม่ ➡️ 48% เริ่มเรียนรู้พื้นฐาน AI ด้วยตนเอง ‼️ ความเสี่ยงที่เกิดจากการขาดทักษะ ⛔ ระบบบางส่วนถูกปล่อยให้ไร้การป้องกัน ⛔ เกิดการตั้งค่าระบบผิดพลาด (misconfiguration) ⛔ ไม่มีเวลาเพียงพอสำหรับการฝึกอบรมบุคลากร ‼️ ผลกระทบต่อบุคลากรและองค์กร ⛔ บุคลากร 48% รู้สึกเหนื่อยล้าจากการตามภัยคุกคาม ⛔ ภาระงานสูงทำให้เกิดความเสี่ยงต่อการลาออก ⛔ องค์กรที่ไม่ลงทุนด้านทักษะจะเสี่ยงต่อเหตุการณ์ร้ายแรงมากขึ้น https://www.csoonline.com/article/4108270/cybersecurity-skills-matter-more-than-headcount-in-the-ai-era.html

💰🤖 The $41 Billion Golden Ticket: SoftBank ปิดดีลประวัติศาสตร์ เข้าถือหุ้น OpenAI ครั้งใหญ่ที่สุดในโลกเอกชน SoftBank Group ของญี่ปุ่นประกาศอย่างเป็นทางการว่าได้ชำระเงินลงทุนเพิ่มอีก 22.5 พันล้านดอลลาร์ใน OpenAI เมื่อวันที่ 26 ธันวาคมที่ผ่านมา ทำให้ยอดลงทุนรวม—ทั้งการลงทุนตรงและการร่วมลงทุน—พุ่งขึ้นเป็นประมาณ 41 พันล้านดอลลาร์ นับเป็นหนึ่งในดีลเอกชนที่ใหญ่ที่สุดในประวัติศาสตร์ และทำให้ SoftBank กลายเป็นผู้ถือหุ้นอันดับ 3 ของ OpenAI รองจาก Microsoft และ OpenAI Foundation ดีลนี้สะท้อนความมุ่งมั่นแบบ “ทุ่มสุดตัว” ของ Masayoshi Son ผู้ก่อตั้ง SoftBank ซึ่งเลือกขายสินทรัพย์สำคัญอย่างหุ้น NVIDIA มูลค่า 5.8 พันล้านดอลลาร์ และหุ้น T-Mobile US มูลค่า 4.8 พันล้านดอลลาร์ เพื่อระดมทุนเข้าสู่ OpenAI การตัดสินใจนี้แสดงให้เห็นการเปลี่ยนมุมมองจากการเป็นผู้รับผลประโยชน์จากการเติบโตของฮาร์ดแวร์ ไปสู่การเป็นผู้กำหนดทิศทางของ “สมอง” แห่งยุค AI โดยตรง หลังการปรับโครงสร้างองค์กรของ OpenAI ในเดือนตุลาคม ซึ่งทำให้บริษัทกลายเป็นองค์กรแสวงกำไรภายใต้การกำกับของ OpenAI Group PBC โครงสร้างผู้ถือหุ้นก็ชัดเจนขึ้น โดยมูลค่าบริษัทพุ่งแตะระดับ 500 พันล้านดอลลาร์ SoftBank ไม่ได้หยุดเพียงเท่านี้ แต่ยังเข้าซื้อกิจการ DigitalBridge มูลค่า 4 พันล้านดอลลาร์ เพื่อเสริมโครงสร้างพื้นฐานด้านดาต้าเซ็นเตอร์ และเตรียมร่วมเป็นส่วนหนึ่งของโครงการ “Stargate” ดาต้าเซ็นเตอร์ขนาดยักษ์ที่ OpenAI และ Oracle กำลังวางแผน ดีลนี้จึงไม่ใช่แค่การลงทุน แต่เป็นการเดิมพันครั้งใหญ่ของ SoftBank ในอนาคตของอารยธรรมมนุษย์ ผ่านการสร้างอาณาจักรแนวตั้งที่ครอบคลุมพลังงาน ดาต้าเซ็นเตอร์ และโมเดล AI ขนาดใหญ่ เมื่อ Microsoft, SoftBank และ OpenAI รวมตัวกันเป็น “AI Iron Triangle” โลก AI ในปี 2026 จะยิ่งดุเดือดขึ้นในการแข่งขันกับกลุ่มนำโดย Google และ Meta 📌 สรุปประเด็นสำคัญ ✅ ข้อมูลจากข่าว ➡️ SoftBank ลงทุนรวม 41 พันล้านดอลลาร์ ใน OpenAI ➡️ ถือหุ้นประมาณ 11% กลายเป็นผู้ถือหุ้นอันดับ 3 ➡️ ขายหุ้น NVIDIA และ T-Mobile เพื่อระดมทุน ➡️ มูลค่า OpenAI พุ่งแตะ 500 พันล้านดอลลาร์ ➡️ โครงสร้างผู้ถือหุ้นใหม่: Microsoft 27%, OpenAI Foundation 26%, SoftBank 11% ➡️ SoftBank ซื้อ DigitalBridge มูลค่า 4 พันล้านดอลลาร์ ➡️ เกี่ยวพันกับโครงการดาต้าเซ็นเตอร์ “Stargate” ของ OpenAI–Oracle ‼️ คำเตือนด้านความปลอดภัย / ความเสี่ยงเชิงกลยุทธ์ ⛔ การขายสินทรัพย์หลักเพื่อทุ่มลงทุนใน AI มีความเสี่ยงสูง ⛔ การรวมศูนย์อำนาจของผู้เล่นรายใหญ่ใน AI อาจสร้างความกังวลด้านการแข่งขัน ⛔ การพึ่งพาโครงสร้างพื้นฐานขนาดยักษ์อาจเพิ่มความเสี่ยงเชิงภูมิรัฐศาสตร์ ⛔ การแข่งขันระหว่าง “AI Iron Triangle” กับ Google–Meta อาจนำไปสู่การเร่งพัฒนาแบบกดดันตลาด https://securityonline.info/the-41-billion-golden-ticket-softbank-seals-historic-openai-stake/

🎧🔥 Anna’s Archive อ้างว่ามีสำเนา Spotify ขนาด 300TB จุดชนวนการสอบสวนเหตุข้อมูลเพลงรั่วครั้งใหญ่ เหตุการณ์นี้สร้างแรงสั่นสะเทือนครั้งใหญ่ในอุตสาหกรรมสตรีมมิง เมื่อ Anna’s Archive แพลตฟอร์ม “shadow library” ชื่อดังออกมาอ้างว่าได้ทำการ “มิเรอร์” คลังเพลงของ Spotify เกือบทั้งหมด และเตรียมปล่อยผ่านทอร์เรนต์รวมกว่า 300TB ขณะที่ Spotify ยืนยันว่ากำลังสอบสวนอย่างเร่งด่วนเพื่อประเมินขอบเขตของการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต เหตุการณ์นี้อาจกลายเป็นหนึ่งในคดีข้อมูลเพลงรั่วไหลที่ใหญ่ที่สุดเท่าที่เคยมีมา ตามคำกล่าวของ Anna’s Archive โครงการนี้ถูกนำเสนอในฐานะ “การอนุรักษ์ดนตรี” โดยอ้างว่ารวบรวมเพลงยอดนิยมกว่า 86 ล้านแทร็ก ซึ่งคิดเป็น 99.6% ของยอดฟังทั้งหมดบน Spotify นอกจากนี้ยังปล่อยทอร์เรนต์แรกที่เป็นฐานข้อมูลเมทาดาทาขนาดใหญ่ ครอบคลุมกว่า 256 ล้านแทร็กและรหัส ISRC จำนวน 186 ล้านรายการ ซึ่งเป็นข้อมูลสำคัญที่ใช้ระบุผลงานเพลงในอุตสาหกรรม Spotify ระบุว่าผู้โจมตีอาจเริ่มจากการเก็บเมทาดาทาที่เปิดเผยสาธารณะ ก่อนใช้เทคนิคผิดกฎหมายเพื่อหลบเลี่ยง DRM และเข้าถึงไฟล์เสียงบางส่วน แม้บริษัทจะยังไม่ยืนยันขนาดความเสียหาย แต่ข้อมูลที่ Anna’s Archive เผยแพร่ทำให้เกิดความกังวลอย่างหนัก โดยเฉพาะการใช้คะแนน “popularity score” ของ Spotify เพื่อเลือกดาวน์โหลดเพลงคุณภาพสูงก่อน และการแปลงไฟล์เพลงที่ไม่ค่อยมีคนฟังให้มีขนาดเล็กลงเพื่อประหยัดพื้นที่ แม้กลุ่มผู้เผยแพร่จะอ้างว่าเป็นการ “อนุรักษ์วัฒนธรรมดนตรี” แต่การดึงข้อมูลจำนวนมหาศาลและเตรียมเผยแพร่ไฟล์เพลงที่มีลิขสิทธิ์อย่างเปิดเผย ถือเป็นการละเมิดกฎหมายลิขสิทธิ์อย่างชัดเจน และอาจนำไปสู่การดำเนินคดี การลบไฟล์ และมาตรการบังคับใช้ที่เข้มงวดขึ้น นอกจากนี้ คลังข้อมูลขนาดมหึมานี้อาจถูกนำไปใช้สร้างแพลตฟอร์มสตรีมมิงเถื่อน หรือใช้ฝึกโมเดล AI ซึ่งเป็นประเด็นถกเถียงที่เกิดขึ้นซ้ำแล้วซ้ำเล่าในโลกของ shadow libraries 📌 สรุปประเด็นสำคัญ ✅ ข้อมูลจากข่าว ➡️ Anna’s Archive อ้างว่ามีสำเนาคลังเพลง Spotify ขนาด 300TB ➡️ รวบรวมเพลงยอดนิยมกว่า 86 ล้านแทร็ก คิดเป็น 99.6% ของยอดฟังทั้งหมด ➡️ ปล่อยทอร์เรนต์เมทาดาทา 256 ล้านแทร็ก และ ISRC 186 ล้านรายการ ➡️ Spotify ยืนยันว่ากำลังสอบสวนเหตุเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ➡️ ผู้โจมตีใช้เมทาดาทาสาธารณะ + เทคนิคหลบ DRM เพื่อเข้าถึงไฟล์เสียง ➡️ เพลงยอดนิยมถูกเก็บในคุณภาพ OGG Vorbis ~160 kbps ➡️ เพลงความนิยมต่ำถูกแปลงเป็น OGG Opus ~75 kbps เพื่อลดขนาด ➡️ เพลงที่ popularity = 0 ส่วนใหญ่ถูกละเว้น ‼️ คำเตือนด้านความปลอดภัย ⛔ การดึงข้อมูลเพลงจำนวนมากเป็นการละเมิดลิขสิทธิ์อย่างชัดเจน ⛔ อาจถูกนำไปสร้างแพลตฟอร์มสตรีมมิงเถื่อนหรือใช้ฝึกโมเดล AI ⛔ เหตุการณ์นี้อาจกระตุ้นให้เกิดการบังคับใช้กฎหมายที่เข้มงวดขึ้น ⛔ การรั่วไหลของเมทาดาทาและไฟล์เสียงอาจส่งผลกระทบต่อศิลปินและค่ายเพลงในวงกว้าง https://securityonline.info/annas-archive-claims-300tb-spotify-mirror-forcing-an-investigation-into-a-massive-music-data-leak/

🧩⚠️ “Prefix Swap” Panic: มัลแวร์ปลอมตัวเป็น Jackson หลุดเข้า Maven Central แบบแนบเนียน ระบบนิเวศของ Java ซึ่งเคยถูกมองว่าแข็งแกร่งกว่า npm อย่างมาก ต้องเผชิญกับเหตุโจมตีซัพพลายเชนที่ซับซ้อนที่สุดครั้งหนึ่ง เมื่อมีการค้นพบแพ็กเกจปลอมบน Maven Central ที่ปลอมตัวเป็นไลบรารี Jackson JSON อันโด่งดัง รายงานจาก Aikido Security ระบุว่าแพ็กเกจอันตรายนี้ใช้เทคนิค “prefix swap” โดยสลับ namespace จาก com.fasterxml ของจริงเป็น org.fasterxml ที่ผู้โจมตีควบคุม ทำให้ดูเหมือนของจริงแทบแยกไม่ออก ความแนบเนียนไม่ได้หยุดแค่ชื่อแพ็กเกจ แม้แต่โครงสร้าง C2 ก็ถูกออกแบบให้คล้ายกัน โดยเปลี่ยนโดเมนจาก fasterxml.com เป็น fasterxml.org ซึ่งดูเผิน ๆ เหมือนเป็นโดเมนที่เกี่ยวข้อง แต่จริง ๆ แล้วเป็นของผู้โจมตีทั้งหมด มัลแวร์นี้ยังถูกออกแบบอย่างซับซ้อนกว่าที่พบใน ecosystem อื่น ๆ โดยมี payload หลายชั้น, การเข้ารหัสคอนฟิก, และการดาวน์โหลด executable เฉพาะแพลตฟอร์มจากเซิร์ฟเวอร์ควบคุม เหตุการณ์นี้ถือเป็นครั้งแรกที่พบมัลแวร์ระดับสูงใน Maven Central และเผยให้เห็นช่องโหว่สำคัญของระบบ namespace แบบ reverse-domain ที่ Java ใช้มานาน แม้จะช่วยลดการชนกันของชื่อแพ็กเกจ แต่กลับไม่มีระบบตรวจจับการสลับ TLD เช่น .com → .org ซึ่งเป็นเทคนิค typosquatting แบบใหม่ที่อันตรายอย่างยิ่ง แม้แพ็กเกจปลอมจะถูกลบออกภายใน 1.5 ชั่วโมง แต่เทคนิคนี้ยังคงเป็นภัยคุกคามที่สามารถลอกเลียนแบบได้ง่ายและมีโอกาสถูกนำไปใช้กับไลบรารีชื่อดังอื่น ๆ เช่น Google หรือ Apache รายงานสรุปด้วยคำเตือนเร่งด่วนว่า Maven Central จำเป็นต้องเพิ่มระบบ “prefix similarity detection” เพื่อป้องกันไม่ให้เกิดเหตุการณ์เลียนแบบในอนาคต เพราะตอนนี้คือช่วงเวลาที่ต้องลงมือก่อนที่เทคนิคนี้จะกลายเป็นมาตรฐานใหม่ของผู้โจมตีซัพพลายเชน 📌 สรุปประเด็นสำคัญ ✅ ข้อมูลจากข่าว ➡️ พบแพ็กเกจปลอม org.fasterxml.jackson.core/jackson-databind บน Maven Central ➡️ ใช้เทคนิค “prefix swap” สลับ com.fasterxml → org.fasterxml ➡️ C2 ปลอมใช้โดเมน fasterxml.org แทน fasterxml.com ➡️ มัลแวร์มี payload หลายชั้น พร้อมการเข้ารหัสและ obfuscation ➡️ ถือเป็นครั้งแรกที่พบมัลแวร์ระดับสูงใน Maven Central ➡️ แพ็กเกจถูกลบภายใน 1.5 ชั่วโมงหลังถูกรายงาน ➡️ เทคนิคนี้สามารถลอกเลียนแบบได้ง่ายและเสี่ยงต่อไลบรารีดังอื่น ๆ ➡️ มีข้อเสนอให้เพิ่มระบบตรวจจับความคล้ายของ prefix ‼️ คำเตือนด้านความปลอดภัย ⛔ การสลับ namespace และ TLD เป็นเทคนิคที่ตรวจจับยากมาก ⛔ นักพัฒนาอาจติดตั้งมัลแวร์โดยไม่รู้ตัวแม้จะตรวจสอบชื่อแพ็กเกจแล้ว ⛔ ระบบ reverse-domain ของ Java ยังไม่มีการป้องกัน typosquatting แบบนี้ ⛔ อาจเกิดการโจมตีเลียนแบบกับไลบรารีสำคัญอื่น ๆ ในอนาคตอันใกล้ https://securityonline.info/prefix-swap-panic-sophisticated-jackson-imposter-infiltrates-maven-central/

🧨💻 EmEditor ถูกเจาะ! มัลแวร์ปลอมชื่อ “WALSHAM” ปลอมตัวเป็นตัวติดตั้งจริงและดูดข้อมูลผู้ใช้ เหตุการณ์โจมตีซัพพลายเชนครั้งใหญ่เกิดขึ้นก่อนวันคริสต์มาสเพียงไม่กี่วัน เมื่อ EmEditor โปรแกรมแก้ไขข้อความยอดนิยมถูกแฮกเกอร์สลับตัวติดตั้งจริงกับไฟล์ MSI อันตรายเป็นเวลานานเกือบ 4 วัน รายงานจากทีม RedDrip ของ Qianxin เผยว่าผู้ใช้จำนวนมาก—ตั้งแต่นักพัฒนาไปจนถึงทีมไอที—ดาวน์โหลดโทรจันขโมยข้อมูลโดยไม่รู้ตัวผ่านปุ่ม “Download Now” บนเว็บไซต์ทางการที่ถูกเปลี่ยนเส้นทางอย่างแนบเนียน สิ่งที่ทำให้การโจมตีครั้งนี้อันตรายยิ่งขึ้นคือไฟล์ปลอมถูกเซ็นด้วยใบรับรองดิจิทัลของบริษัทลวงชื่อ “WALSHAM INVESTMENTS LIMITED” แทนที่จะเป็น “Emurasoft, Inc.” ตัวมัลแวร์ไม่ได้เป็นเพียงตัวดาวน์โหลดธรรมดา แต่เป็นเครื่องมือดูดข้อมูลขั้นสูงที่รันสคริปต์ PowerShell เพื่อเก็บข้อมูลระบบ สร้างกุญแจ RSA และเข้ารหัสข้อมูลที่ถูกขโมย ก่อนส่งกลับไปยังผู้โจมตี ขอบเขตของข้อมูลที่ถูกล้วงมีความรุนแรงอย่างมาก ตั้งแต่คอนฟิก VPN, คุกกี้และรหัสผ่านจากเบราว์เซอร์ยอดนิยม, ไปจนถึงข้อมูลแอปพลิเคชันอย่าง Discord, Slack, Zoom, WinSCP และ PuTTY รวมถึงไฟล์ใน Desktop, Documents และ Downloads นอกจากนี้ มัลแวร์ยังติดตั้งส่วนขยายเบราว์เซอร์ปลอมชื่อ “Google Drive Caching” ซึ่งเป็นเครื่องมือจารกรรมเต็มรูปแบบที่สามารถ keylogging, ถ่ายภาพหน้าจอ, ขโมยบัญชีโฆษณา Facebook และดักเปลี่ยนที่อยู่กระเป๋าคริปโตในคลิปบอร์ดได้ ที่น่าสนใจคือมัลแวร์มี “รายการประเทศที่ไม่ต้องการติดเชื้อ” โดยจะหยุดทำงานทันทีหากพบภาษาระบบที่เกี่ยวข้องกับรัสเซีย ยูเครน คาซัคสถาน หรืออิหร่าน ซึ่งเป็นรูปแบบที่พบได้ในกลุ่มภัยคุกคามระดับรัฐบางกลุ่ม เหตุการณ์นี้ถูกประเมินว่าเป็นภัยระดับสูงต่อองค์กรและหน่วยงานรัฐ โดยเฉพาะในจีนและประเทศที่ใช้ EmEditor อย่างแพร่หลาย ทีมความปลอดภัยถูกแนะนำให้ตรวจสอบใบรับรอง “WALSHAM INVESTMENTS LIMITED” และส่วนขยาย “Google Drive Caching” ทันที 📌 สรุปประเด็นสำคัญ ✅ ข้อมูลจากข่าว ➡️ EmEditor ถูกโจมตีซัพพลายเชนระหว่าง 19–22 ธันวาคม 2025 ➡️ ปุ่มดาวน์โหลดถูกเปลี่ยนเส้นทางไปยัง MSI อันตราย ➡️ ไฟล์ปลอมเซ็นด้วยชื่อ “WALSHAM INVESTMENTS LIMITED” ➡️ มัลแวร์ใช้ PowerShell เก็บข้อมูลและเข้ารหัสด้วย RSA ➡️ ขโมยข้อมูล VPN, เบราว์เซอร์, แอปพลิเคชัน และไฟล์สำคัญ ➡️ ติดตั้งส่วนขยายปลอม “Google Drive Caching” เพื่อคงอยู่ในระบบ ➡️ ส่วนขยายมีความสามารถ keylogging, screenshot, ขโมยบัญชี และดักกระเป๋าคริปโต ➡️ มัลแวร์หยุดทำงานหากพบภาษาระบบของรัสเซีย–อดีตโซเวียต–อิหร่าน ➡️ เหตุการณ์ถูกประเมินว่าเป็นภัยระดับสูงต่อองค์กรและรัฐบาล ‼️ คำเตือนด้านความปลอดภัย ⛔ ซัพพลายเชนซอฟต์แวร์เป็นจุดโจมตีที่ตรวจจับยากและสร้างความเสียหายวงกว้าง ⛔ ไฟล์ MSI ที่เซ็นด้วยใบรับรองปลอมสามารถหลอกผู้ใช้ได้ง่าย ⛔ ส่วนขยายเบราว์เซอร์ปลอมเป็นช่องทางคงอยู่ที่อันตรายมาก ⛔ ข้อมูลที่ถูกขโมยครอบคลุมทั้งระบบงานและข้อมูลส่วนบุคคล ⛔ องค์กรควรตรวจสอบใบรับรองและส่วนขยายต้องสงสัยทันที https://securityonline.info/emeditor-compromised-walsham-imposter-poisons-official-installer-with-spyware/

⚔️🕸️ RondoDoX กลับมาถล่มอีกครั้ง: หลักฐานหลุดเผยแคมเปญโจมตี Next.js และ IoT ยาวนาน 9 เดือน RondoDoX หนึ่งในบ็อตเน็ตที่เคยสร้างความปั่นป่วนในโลกไซเบอร์ ได้กลับมาอีกครั้งพร้อมอาวุธใหม่ที่ทรงพลังยิ่งกว่าเดิม จากเดิมที่เน้นโจมตีเราเตอร์ทั่วไป บ็อตเน็ตตัวนี้ได้ยกระดับเป้าหมายไปสู่ระบบระดับองค์กร โดยเฉพาะเซิร์ฟเวอร์ที่ใช้เฟรมเวิร์ก Next.js ซึ่งเป็นเทคโนโลยีที่บริษัทใหญ่ทั่วโลกใช้งาน รายงานล่าสุดจาก CloudSEK เปิดเผยว่าแคมเปญนี้ดำเนินต่อเนื่องยาวนานถึง 9 เดือน และอาศัยช่องโหว่ล้ำสมัยเพื่อเจาะระบบตั้งแต่สมาร์ทโฮมไปจนถึงเซิร์ฟเวอร์องค์กร การค้นพบครั้งนี้เกิดขึ้นหลังนักวิจัยพบ “บันทึกคำสั่ง C2 ที่ถูกเปิดเผย” ซึ่งเป็นหลักฐานที่ผู้โจมตีทิ้งไว้โดยไม่ตั้งใจ บันทึกเหล่านี้ครอบคลุมช่วงเดือนมีนาคมถึงธันวาคม 2025 และเผยให้เห็นพฤติกรรมการโจมตีอย่างละเอียด รวมถึงการนำช่องโหว่ใหม่อย่าง React2Shell มาใช้เจาะ Next.js Server Actions ซึ่งมีช่องโหว่ด้าน prototype pollution ที่นำไปสู่การรันโค้ดจากระยะไกล (RCE) ได้อย่างสมบูรณ์ แม้จะขยายการโจมตีไปยังระบบเว็บสมัยใหม่ RondoDoX ก็ยังไม่ละทิ้งสนามล่าดั้งเดิมอย่างอุปกรณ์ IoT รายงานระบุว่าบ็อตเน็ตยังคงยิงการโจมตีแบบอัตโนมัติทุกชั่วโมงใส่อุปกรณ์อินเทอร์เน็ต เช่น เราเตอร์ D-Link, TP-Link, Netgear, Linksys, ASUS รวมถึงกล้อง IP โดยตัวมัลแวร์ถูกออกแบบให้รองรับสถาปัตยกรรมแทบทุกแบบ ตั้งแต่ x86, ARM ไปจนถึง PowerPC ทำให้สามารถแพร่กระจายได้ทั้งในคลาวด์และอุปกรณ์ปลายทาง เมื่อเข้าควบคุมอุปกรณ์ได้แล้ว RondoDoX จะไม่หยุดเพียงแค่ติดตั้งตัวเอง แต่ยังสแกนกระบวนการในระบบทุก 45 วินาทีเพื่อฆ่ามัลแวร์คู่แข่งทั้งหมด ทำให้มันครอบครองอุปกรณ์แบบเบ็ดเสร็จ ความสามารถในการโจมตีทั้ง IoT รุ่นเก่าและแอปพลิเคชัน Next.js รุ่นใหม่ ทำให้ RondoDoX กลายเป็นหนึ่งในภัยคุกคามที่อันตรายที่สุดในปี 2025 📌 สรุปประเด็นสำคัญ ✅ ข้อมูลจากข่าว ➡️ RondoDoX เปิดแคมเปญโจมตีต่อเนื่อง 9 เดือน (มี.ค.–ธ.ค. 2025) ➡️ ใช้ช่องโหว่ React2Shell เจาะ Next.js Server Actions ➡️ ช่องโหว่ Next.js ทำให้เกิด RCE ผ่าน deserialization flaw ➡️ โจมตี IoT อย่างต่อเนื่องทุกชั่วโมง ➡️ เป้าหมายรวมถึงเราเตอร์ D-Link, TP-Link, Netgear, Linksys, ASUS และกล้อง IP ➡️ มัลแวร์รองรับหลายสถาปัตยกรรม: x86, ARM, MIPS, PowerPC ➡️ ฆ่ามัลแวร์คู่แข่งทุก 45 วินาทีเพื่อยึดอุปกรณ์แบบถาวร ‼️ คำเตือนด้านความปลอดภัย ⛔ องค์กรที่ใช้ Next.js รุ่นที่มีช่องโหว่เสี่ยงถูกยึดเซิร์ฟเวอร์เต็มรูปแบบ ⛔ อุปกรณ์ IoT ที่ไม่ได้อัปเดตเฟิร์มแวร์มีความเสี่ยงสูงมาก ⛔ บ็อตเน็ตที่รองรับหลายสถาปัตยกรรมสามารถแพร่กระจายได้รวดเร็ว ⛔ การฆ่ามัลแวร์คู่แข่งทำให้การตรวจจับยากขึ้นและเพิ่มความเสียหาย https://securityonline.info/rondodox-strikes-back-exposed-logs-reveal-massive-9-month-campaign-targeting-next-js-and-iot/

🕵️‍♀️🔥 The Insider Crisis: เมื่อพนักงาน Outsource ถูกซื้อให้ขายความลับล้ำค่าของ Ubisoft เหตุการณ์ครั้งนี้สะเทือนวงการเกมและความปลอดภัยไซเบอร์อย่างหนัก เมื่อกลุ่มวิจัย vx‑underground เปิดเผยข้อมูลการโจมตีที่พุ่งเป้าไปยัง Ubisoft และแฟรนไชส์ดังอย่าง Rainbow Six Siege โดยมีหลักฐานชี้ชัดว่าพนักงาน Outsource ในอินเดียและแอฟริกาใต้ถูกติดสินบนเพื่อเปิดทางให้แฮกเกอร์เข้าถึงระบบภายในของบริษัท เหตุการณ์นี้สะท้อนปัญหาเชิงโครงสร้างขององค์กรข้ามชาติที่พึ่งพาการ Outsource อย่างหนัก และเผยให้เห็น “ตลาดมืดของพนักงานภายใน” ที่พร้อมขายสิทธิ์เข้าถึงระบบเพื่อแลกกับเงินจำนวนไม่มากนักเมื่อเทียบกับรายได้ของพวกเขา จากข้อมูลที่ VX เปิดเผย แฮกเกอร์สามารถเข้าถึงเครื่องมือสำคัญของ Ubisoft เช่น Microsoft Teams, Confluence, SharePoint และ Atlas ผ่านสิทธิ์ของพนักงานที่ถูกซื้อไป ในการโจมตีล่าสุด ผู้โจมตีซ่อนตัวอยู่ในระบบนานถึง 48 ชั่วโมง พยายามขโมยข้อมูลมากถึง 900 GB โดยเป้าหมายหลักคือข้อมูลของ Rainbow Six Siege รวมถึงความพยายามฉีดเงินในเกมและไอเท็มมูลค่ากว่า 339 พันล้านดอลลาร์เข้าไปในบัญชีผู้เล่นจำนวนมาก ซึ่งสร้างความสับสนให้กับชุมชนเกมทั่วโลก แท้จริงแล้ว แฮกเกอร์ไม่ได้ต้องการเงินค่าไถ่แบบแรนซัมแวร์ทั่วไป แต่ต้องการควบคุมบัญชีเกมและเข้าถึงทรัพย์สินภายใน เช่น ซอร์สโค้ดของเกม พวกเขายังร่วมมือกับพนักงานภายในเพื่อสร้าง “ซัพพลายเชนใต้ดิน” ที่ช่วยให้สามารถแก้ไขบัญชีผู้เล่นตามคำสั่ง และพยายามใช้ช่องโหว่ MongoDB “MongoBleed” เพื่อเจาะลึกเข้าไปยัง Git repository ของ Ubisoft แม้ Ubisoft จะยืนยันว่าไม่มีข้อมูลผู้เล่นรั่วไหล แต่ภาพหน้าจอภายในชี้ว่าผู้โจมตีสามารถเข้าถึงเอกสารพัฒนาเกมและการสื่อสารภายในบางส่วนได้จริง ปัญหานี้มีรากเหง้ามาจากค่าตอบแทนที่ต่ำของทีม Outsource ซึ่งทำงานด้านสนับสนุนลูกค้าเป็นหลัก ทำให้สินบนเพียงไม่กี่พันดอลลาร์มีมูลค่าสูงกว่ารายได้ทั้งปีของพวกเขา นี่ไม่ใช่ครั้งแรกที่เกิดเหตุลักษณะนี้—กรณี Coinbase ก็เคยถูกเจาะเพราะพนักงาน Outsource ทำหน้าที่เป็น Insider เช่นกัน ผู้เชี่ยวชาญเตือนว่าหากบริษัทไม่แก้ไขปัญหาความซื่อสัตย์ของบุคลากรและไม่บังคับใช้หลักการ least‑privilege อย่างเข้มงวด การป้องกันด้วยไฟร์วอลล์หรือการเข้ารหัสก็แทบไม่มีความหมาย 📌 สรุปประเด็นสำคัญ ✅ ข้อมูลจากข่าว ➡️ vx‑underground เปิดเผยการโจมตีที่เกี่ยวข้องกับพนักงาน Outsource ของ Ubisoft ➡️ พนักงานในอินเดียและแอฟริกาใต้ถูกติดสินบนเพื่อเปิดทางให้แฮกเกอร์ ➡️ แฮกเกอร์เข้าถึง Teams, Confluence, SharePoint และ Atlas ➡️ ผู้โจมตีอยู่ในระบบ 48 ชั่วโมง พยายามขโมยข้อมูล 900 GB ➡️ มีการฉีดเงินและไอเท็มในเกม Rainbow Six Siege มูลค่า $339T ➡️ เป้าหมายคือบัญชีเกมและซอร์สโค้ด ไม่ใช่การเรียกค่าไถ่ ➡️ มีความพยายามใช้ช่องโหว่ MongoBleed เพื่อเข้าถึง Git repository ➡️ Ubisoft ระบุว่าไม่มีข้อมูลผู้เล่นรั่วไหล แต่มีการเข้าถึงเอกสารภายในบางส่วน ‼️ คำเตือนด้านความปลอดภัย ⛔ Outsource ที่ค่าตอบแทนต่ำเป็นจุดเสี่ยงสูงต่อการถูกซื้อให้เป็น Insider ⛔ การตรวจสอบและควบคุมสิทธิ์ในศูนย์ปฏิบัติการต่างประเทศทำได้ยาก ⛔ การถ่ายภาพข้อมูลจากหน้าจอเป็นช่องโหว่ที่ระบบตรวจจับไม่สามารถป้องกันได้ ⛔ หากบุคลากรภายในขายสิทธิ์เข้าถึง แม้ระบบเข้ารหัสหรือไฟร์วอลล์ก็ไม่สามารถป้องกันได้ https://securityonline.info/the-insider-crisis-how-bribed-outsourced-staff-sold-out-ubisofts-crown-jewels

🕵️‍♂️💀 Cybersecurity Pros Admit to Moonlighting as BlackCat Ransomware Affiliates คดีนี้สร้างแรงสั่นสะเทือนครั้งใหญ่ในวงการความปลอดภัยไซเบอร์ เมื่อผู้เชี่ยวชาญด้านไซเบอร์สองรายในสหรัฐฯ ยอมรับสารภาพว่าแอบทำงานเป็นผู้ร่วมปฏิบัติการ (affiliate) ให้กับแก๊งแรนซัมแวร์ชื่อกระฉ่อนอย่าง ALPHV/BlackCat ทั้งที่หน้าที่จริงของพวกเขาคือการปกป้องระบบเครือข่าย แต่กลับใช้ทักษะเดียวกันเพื่อโจมตีและรีดไถเงินจากเหยื่อแทน เหตุการณ์นี้เผยให้เห็นด้านมืดของวงการไซเบอร์ ที่แม้แต่ผู้เชี่ยวชาญก็อาจกลายเป็นภัยคุกคามได้ ผู้ต้องหา Ryan Goldberg วัย 40 ปี และ Kevin Martin วัย 36 ปี ยอมรับผิดในศาลรัฐบาลกลางฟลอริดา โดยถูกตั้งข้อหาสมคบคิดเพื่อก่อเหตุกรรโชกผ่านแรนซัมแวร์ BlackCat ซึ่งเคยเล่นงานเหยื่อมากกว่า 1,000 รายทั่วโลก จุดที่ทำให้คดีนี้โดดเด่นคือทั้งคู่เป็นบุคลากรในอุตสาหกรรมไซเบอร์จริง ๆ และใช้ความรู้ระดับมืออาชีพในการเจาะระบบ เลือกเป้าหมาย และปล่อย payload แรนซัมแวร์ในฐานะ affiliate ของโมเดล Ransomware‑as‑a‑Service (RaaS) ตามเอกสารของศาล ทั้งคู่ทำงานร่วมกับผู้พัฒนา BlackCat ระหว่างเดือนเมษายนถึงธันวาคม 2023 โดยแบ่งผลประโยชน์ตามมาตรฐาน: 20% ให้ผู้ดูแล BlackCat และ 80% เป็นของพวกเขาเอง หนึ่งในเหยื่อถูกรีดไถสำเร็จเป็นเงินราว 1.2 ล้านดอลลาร์เป็น Bitcoin ซึ่งถูกแบ่งและฟอกเงินเพื่อปกปิดเส้นทางการเงิน การกระทำนี้ตอกย้ำว่าภัยคุกคามแรนซัมแวร์ไม่ได้จำกัดอยู่แค่กลุ่มอาชญากรต่างชาติ แต่สามารถเกิดจากบุคคลภายในประเทศที่มีสิทธิ์เข้าถึงระบบและมีทักษะสูง ในช่วงปลายปี 2023 กระทรวงยุติธรรมสหรัฐฯ เปิดปฏิบัติการใหญ่เพื่อรื้อโครงสร้างของ BlackCat ยึดเว็บไซต์หลายแห่ง และปล่อยเครื่องมือถอดรหัสที่ช่วยเหยื่อประหยัดเงินได้กว่า 99 ล้านดอลลาร์ สุดท้าย Goldberg และ Martin ถูกตั้งข้อหาสมคบคิดเพื่อขัดขวางหรือทำให้การค้าล่าช้าโดยการกรรโชก และมีกำหนดพิพากษาในเดือนมีนาคม 2026 โดยโทษสูงสุดอาจถึง 20 ปีในเรือนจำ 📌 สรุปประเด็นสำคัญ ✅ ข้อมูลจากข่าว ➡️ ผู้เชี่ยวชาญด้านไซเบอร์ 2 รายยอมรับว่าเป็น affiliate ของแรนซัมแวร์ BlackCat ➡️ ทั้งคู่ใช้ทักษะด้านความปลอดภัยไซเบอร์เพื่อโจมตีแทนที่จะป้องกัน ➡️ ทำงานในโมเดล RaaS ระหว่างเมษายน–ธันวาคม 2023 ➡️ แบ่งรายได้ 80% ให้ affiliate และ 20% ให้ผู้ดูแล BlackCat ➡️ มีเหยื่อรายหนึ่งถูกรีดไถสำเร็จเป็นเงินประมาณ $1.2M ➡️ DOJ เปิดปฏิบัติการยึดเว็บไซต์ BlackCat และปล่อยเครื่องมือถอดรหัส ➡️ ทั้งคู่ถูกตั้งข้อหาสมคบคิดเพื่อกรรโชก และรอพิพากษาในปี 2026 ‼️ คำเตือนด้านความปลอดภัย ⛔ บุคลากรภายในที่มีทักษะสูงอาจกลายเป็นภัยคุกคามได้ ⛔ โมเดล RaaS ทำให้ผู้โจมตีหน้าใหม่เข้าถึงเครื่องมือแรนซัมแวร์ได้ง่ายขึ้น ⛔ การเข้าถึงระบบโดยชอบธรรมสามารถถูกนำไปใช้เพื่อโจมตีองค์กรได้ ⛔ องค์กรควรตรวจสอบสิทธิ์และพฤติกรรมของพนักงานด้านไอทีอย่างเข้มงวด https://securityonline.info/cybersecurity-pros-admit-to-moonlighting-as-blackcat-ransomware-affiliates/

🎄💸 The Christmas Heist: แฮกเกอร์ Shai‑Hulud เจาะ Trust Wallet กวาดเงินคริปโต $8.5M เหตุการณ์โจมตีครั้งใหญ่ในช่วงคริสต์มาสปี 2025 ได้สั่นสะเทือนวงการคริปโต เมื่อ Trust Wallet กระเป๋าเงินแบบ non‑custodial ที่อยู่ภายใต้ Binance ถูกแฮกเกอร์กลุ่ม Shai‑Hulud เจาะระบบผ่านการโจมตีซัพพลายเชน NPM และยึดกระบวนการอัปเดตส่วนขยายบน Chrome Web Store ได้สำเร็จ ผู้โจมตีสลับเวอร์ชันจริงของส่วนขยายด้วยเวอร์ชันปลอมที่ฝัง Backdoor เพื่อขโมย Seed Phrase ของผู้ใช้โดยตรง ส่งผลให้ยอดความเสียหายรวมพุ่งถึง 8.5 ล้านดอลลาร์ จุดเริ่มต้นของเหตุการณ์เกิดจากการที่แฮกเกอร์สามารถเจาะ NPM packages หลายตัวในเดือนพฤศจิกายน 2025 และขโมย GitHub credentials ของนักพัฒนา Trust Wallet ทำให้พวกเขาเข้าถึงซอร์สโค้ดและ API keys ของ Chrome Web Store ได้อย่างสมบูรณ์ ด้วยสิทธิ์เหล่านี้ ผู้โจมตีสามารถอัปโหลดส่วนขยายปลอมโดยไม่ต้องผ่านการตรวจสอบของทีม Trust Wallet ซึ่งเป็นช่องทางสำคัญที่ทำให้การโจมตีครั้งนี้เกิดขึ้นได้อย่างแนบเนียน ในเดือนธันวาคม 2025 แฮกเกอร์เริ่มเตรียมโครงสร้างพื้นฐาน โดยจดโดเมนใหม่ metrics.trustwallet.com เพื่อใช้เป็นเซิร์ฟเวอร์ควบคุมของส่วนขยายปลอม เมื่อถึงช่วงคริสต์มาส—เวลาที่ทีมงานและผู้ใช้ส่วนใหญ่ไม่ค่อยเฝ้าระวัง—ผู้โจมตีก็เริ่มเก็บเกี่ยว Seed Phrase ที่ถูกขโมยไปก่อนหน้า และเริ่มถอนเงินจากกระเป๋าของเหยื่อจำนวนมาก โชคยังดีที่นักวิจัยด้านความปลอดภัยอย่าง 0xAkinator, ZachXBT และทีมพันธมิตรอย่าง Hashdit ตรวจพบความผิดปกติอย่างรวดเร็ว พร้อมทั้งมีการโจมตี DDoS แบบป้องกัน (โดย white‑hat) เพื่อทำให้เซิร์ฟเวอร์ของผู้โจมตีล่ม ลดความเสียหายเพิ่มเติมลงได้บางส่วน สุดท้าย Trust Wallet ออกเวอร์ชัน 2.69 ที่ปลอดภัยและบังคับอัปเดตให้ผู้ใช้ทั้งหมด ขณะที่ Binance ประกาศชดเชยเหยื่อเต็มจำนวน 📌 สรุปประเด็นสำคัญ ✅ ข้อมูลจากข่าว ➡️ Trust Wallet ถูกแทนที่ด้วยส่วนขยายปลอมบน Chrome Web Store ➡️ ความเสียหายรวมประมาณ $8.5 ล้านดอลลาร์ ➡️ Binance ชดเชยผู้ใช้เต็มจำนวน ➡️ จุดเริ่มต้นมาจาก NPM supply‑chain attack ➡️ แฮกเกอร์ขโมย GitHub credentials และ Chrome Web Store API keys ➡️ ผู้โจมตีอัปโหลดเวอร์ชันปลอมโดยไม่ต้องผ่านการตรวจสอบ ➡️ โดเมนปลอม metrics.trustwallet.com ถูกใช้เป็นโครงสร้างพื้นฐาน ➡️ เวอร์ชันที่แก้ไขแล้วคือ Trust Wallet 2.69 ‼️ คำเตือนด้านความปลอดภัย ⛔ การโจมตีซัพพลายเชนสามารถเกิดขึ้นได้แม้กับองค์กรใหญ่ ⛔ ส่วนขยายเบราว์เซอร์เป็นจุดเสี่ยงสูงต่อการถูกปลอมแปลง ⛔ Seed Phrase ที่ถูกขโมย = สูญเสียเงินทั้งหมดแบบไม่สามารถย้อนคืน ⛔ ผู้ใช้ควรตรวจสอบแหล่งดาวน์โหลดทุกครั้ง โดยเฉพาะช่วงวันหยุดหรือช่วงที่ทีมพัฒนาไม่เฝ้าระวัง https://securityonline.info/the-christmas-heist-how-shai-hulud-hijacked-trust-wallet-for-an-8-5m-score/

🔐 ช่องโหว่ร้ายแรง CVE‑2025‑47411 ใน Apache StreamPipes เปิดทางผู้ใช้ทั่วไปยึดสิทธิ์แอดมิน Apache StreamPipes ซึ่งเป็นแพลตฟอร์มวิเคราะห์ข้อมูล IoT แบบ Self‑Service ถูกเปิดเผยว่ามีช่องโหว่สำคัญที่ทำให้ผู้ใช้ระดับปกติสามารถยกระดับสิทธิ์ขึ้นเป็นผู้ดูแลระบบได้อย่างสมบูรณ์ ช่องโหว่นี้เกิดจากข้อผิดพลาดด้านตรรกะในการสร้างและตรวจสอบตัวตนผู้ใช้ ทำให้ผู้โจมตีสามารถสวมรอยเป็นแอดมินได้โดยไม่ต้องมีสิทธิ์จริง นับเป็นความเสี่ยงที่รุนแรงสำหรับองค์กรที่ใช้ StreamPipes ในการจัดการข้อมูลอุตสาหกรรมแบบเรียลไทม์ ช่องโหว่นี้ครอบคลุมตั้งแต่เวอร์ชัน 0.69.0 ถึง 0.97.0 โดยอาศัยการ “สลับชื่อผู้ใช้” ระหว่างบัญชีทั่วไปกับบัญชีแอดมินผ่านการดัดแปลง JWT Token ซึ่งเป็นกลไกหลักในการจัดการเซสชัน เมื่อระบบถูกหลอกให้เชื่อว่าผู้โจมตีคือผู้ดูแลระบบ การตรวจสอบสิทธิ์ทั้งหมดจะถูกข้ามไปทันที ส่งผลให้ผู้โจมตีสามารถเข้าถึงฟีเจอร์ระดับสูงได้อย่างเต็มรูปแบบ ผลกระทบของการยึดสิทธิ์แอดมินในระบบ IoT ถือว่าร้ายแรงอย่างยิ่ง เพราะผู้โจมตีสามารถแก้ไขข้อมูล วิเคราะห์ผิดพลาด หรือแม้แต่รบกวนการทำงานของระบบอุตสาหกรรมได้ การเปลี่ยนแปลงข้อมูลเพียงเล็กน้อยอาจนำไปสู่ความเสียหายระดับองค์กร เช่น การหยุดสายการผลิต หรือการตัดสินใจผิดพลาดจากข้อมูลที่ถูกบิดเบือน ทีมพัฒนาได้แก้ไขช่องโหว่นี้แล้วในเวอร์ชัน 0.98.0 และแนะนำให้องค์กรอัปเดตทันทีเพื่อป้องกันความเสี่ยง โดยเฉพาะองค์กรที่มีผู้ใช้จำนวนมากหรือมีผู้ใช้งานที่ไม่ใช่สายเทคนิค ซึ่งอาจถูกใช้เป็นช่องทางโจมตีจากบุคคลภายในได้ 📌 สรุปประเด็นสำคัญ ✅ ข้อมูลจากข่าว ➡️ ช่องโหว่ CVE‑2025‑47411 ส่งผลให้ผู้ใช้ทั่วไปยกระดับสิทธิ์เป็นแอดมินได้ ➡️ เกิดจากข้อผิดพลาดในการสร้างและตรวจสอบตัวตนผู้ใช้ ➡️ ผู้โจมตีสามารถสลับชื่อผู้ใช้กับแอดมินผ่านการดัดแปลง JWT Token ➡️ ส่งผลกระทบต่อเวอร์ชัน 0.69.0 – 0.97.0 ➡️ เวอร์ชัน 0.98.0 ได้รับการแก้ไขแล้ว ‼️ คำเตือนด้านความปลอดภัย ⛔ การยึดสิทธิ์แอดมินอาจนำไปสู่การแก้ไขข้อมูล IoT ที่สำคัญ ⛔ อาจเกิดการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ⛔ ความเสียหายต่อระบบอุตสาหกรรมอาจเกิดขึ้นแบบต่อเนื่องและยากต่อการตรวจจับ ⛔ องค์กรที่มีผู้ใช้จำนวนมากหรือมีผู้ใช้ที่ไม่ใช่สายเทคนิคมีความเสี่ยงสูง https://securityonline.info/cve-2025-47411-critical-apache-streampipes-flaw-allows-standard-users-to-seize-admin-control/?utm_source=copilot.com

Strategic Roadmap for Liberalizing Thailand’s Electricity Distribution Market : Part 5 Date : 5 January 2026 ### 6) Pillar D — Build the Digital Market Layer (From Sandbox to System) Thailand has explored peer-to-peer (P2P) concepts and sandbox experimentation, showing technical feasibility but also illustrating why pilots cannot scale without rules for settlement, consumer protection, and network charging. Public information on P2P-related initiatives (including utility-supported pilots) reinforces that technology is not the main barrier—market design and regulation are. **Recommended digital architecture:** - **National energy data access standards**: Define who can access meter data, under what consent, cybersecurity, and privacy conditions. - **Central settlement and switching platform**: A neutral platform that processes switching, validates meter data, calculates network charges, and settles imbalances. - **DER aggregation rules**: License aggregators to pool rooftop solar, batteries, EV chargers, and flexible loads to provide services. - **(Optional) Renewable attribute tracking**: If policy wants credible green procurement claims, implement certificates/attributes with auditable rules. This digital layer enables competition beyond “selling kWh”—it creates a market for flexibility, reliability services, and customer-centric products. ### 7) Reliability and Investment: Recasting MEA/PEA as DSOs A reformed market must strengthen—not weaken—grid operations. The future-facing role for MEA/PEA network arms is the **Distribution System Operator (DSO)**: actively managing DER, congestion, voltage, fault response, and hosting capacity. To support this, shift regulation toward **performance-based incentives**: - Reward reductions in technical losses, outage duration, and connection times. - Reward DER hosting capacity and timely interconnections. - Penalize poor service quality and discriminatory behavior. This aligns utility incentives with modernization and public value, while allowing competitive retailers and service providers to innovate. To be continued—————————————————————————————————————————————————— #DistributionMarketReform #Thaitimes #ManagerOnline #News1

Strategic Roadmap for Liberalizing Thailand’s Electricity Distribution Market : Part 4 Date : 4 January 2026 ### 4) Pillar B — Unbundling to Remove Conflicts of Interest (Without Privatizing the Grid) Even with a TPA code, monopoly power can persist if the incumbent controls both the network and the retail relationship. The practical solution is **unbundling**—not necessarily ownership separation at the outset, but immediate accounting separation and staged functional separation. **Stage 1: Accounting separation (Year 1)** - Separate regulated network costs (capex, opex, depreciation, losses) from competitive retail and service costs. - Prohibit cross-subsidies and require cost allocation audits. **Stage 2: Functional separation (Years 2–3)** - Create independent management, performance metrics, and “Chinese walls” between the network operator and any affiliated retailer. - Establish compliance obligations and penalties for discrimination. This approach maintains public ownership while removing the incentive and ability to self-preference. It also makes tariff reform and investment planning more credible to both customers and investors. ### 5) Pillar C — Retail Competition (Phased Contestability That Protects Households) Retail competition should be introduced in phases, because the capability requirements (metering, settlement, consumer protection) expand dramatically when households are included. **Phase 1: Large customers (Years 1–2)** - Allow customers above a threshold (e.g., >1 MW or a defined annual consumption) to choose licensed retailers and/or contract via Direct PPA using TPA. - Focus on industrial zones, data centers, and export-oriented manufacturing where clean-energy procurement and price-risk management are urgent. Thailand’s Direct PPA policy discussion has already highlighted targeted early-use cases, making this phase aligned with current direction. **Phase 2: SMEs (Years 2–4)** - Introduce simplified contract templates, standardized disclosure formats, and default service options. - Encourage retailers to offer bundled services: demand response, energy efficiency, EV fleet charging optimization. **Phase 3: Households (Years 4–6)** - Enable switching for households only after: 1) wide smart-meter coverage (or equivalent interval data capability), 2) strong complaint/dispute channels, 3) clear rules against predatory pricing and misleading marketing, 4) a robust “provider of last resort” (POLR) mechanism. In all phases, MEA/PEA should retain (or a designated entity should retain) a regulated default supply obligation to ensure continuity and social protection. To be continued—————————————————————————————————————————————————— #DistributionMarketReform #Thaitimes #ManagerOnline #News1