ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ กรณี Oracle เผยแพร่การอัปเดต Critical Patch Update Advisory เดือนเมษายน 2569 ซึ่งมีการแก้ไขช่องโหว่ด้านความมั่นคงปลอดภัยในผลิตภัณฑ์ Oracle ขอให้ผู้ดูแลระบบที่เกี่ยวข้องดำเนินการตรวจสอบและอัปเดตระบบโดยเร็ว เพื่อให้เป็นไปตามแนวทางด้านความมั่นคงปลอดภัยไซเบอร์ และลดความเสี่ยงจากการถูกโจมตีทางไซเบอร์

1. รายละเอียดของการอัปเดต [1]

Oracle เผยแพร่การอัปเดต Critical Patch Update Advisory เดือนเมษายน 2569 จำนวน 481 รายการ ครอบคลุม 28 กลุ่มผลิตภัณฑ์ โดยมากกว่า 300 รายการเป็นช่องโหว่ที่สามารถถูกโจมตีได้โดยไม่ต้องยืนยันตัวตน (Remote Unauthenticated Exploitation) และมีช่องโหว่ระดับร้ายแรง (Critical) ประมาณ 30 รายการ ทั้งนี้ มีการระบุช่องโหว่รวมประมาณ 450 CVEs ซึ่งบางรายการถูกแก้ไขในผลิตภัณฑ์ที่เกี่ยวข้อง และบางส่วนเป็นช่องโหว่จาก third-party ที่ได้รับการแก้ไขร่วมด้วย

2. ลักษณะและผลกระทบของช่องโหว่

ช่องโหว่ที่ถูกแก้ไขในครั้งนี้ส่วนใหญ่เป็นช่องโหว่ที่มีความเสี่ยงสูง ได้แก่

2.1 การโจมตีโดยไม่ต้องยืนยันตัวตน (Remote Unauthenticated Exploitation)
2.2 การรันโค้ดโดยไม่ต้องยืนยันตัวตน (Remote Code Execution)
2.3 การเข้าถึงข้อมูลสำคัญหรือควบคุมระบบโดยไม่ได้รับอนุญาต
2.4 การยกระดับสิทธิ์ (Privilege Escalation)

หากผู้ไม่หวังดีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวได้สำเร็จ อาจส่งผลให้ระบบถูกเข้าควบคุม ข้อมูลรั่วไหล หรือเกิดการหยุดชะงักของบริการ ทั้งนี้ Oracle ได้ออกแพตช์ฉุกเฉินก่อนหน้า สำหรับช่องโหว่ CVE-2026-21992 ซึ่งเป็นช่องโหว่ระดับร้ายแรงที่สามารถนำไปสู่การโจมตีแบบ Remote Code Execution ได้

3. ผลิตภัณฑ์ที่ได้รับผลกระทบ [2]

แบ่งตามกลุ่มที่มีจำนวนแพตช์สูง ได้แก่

• Oracle Communications (139 รายการ)
• Financial Services Applications (75 รายการ)
• Fusion Middleware (59 รายการ)

นอกจากนี้ยังรวมถึงผลิตภัณฑ์สำคัญอื่น เช่น

• MySQL
• PeopleSoft
• E-Business Suite
• Siebel CRM
• Java SE
• Oracle Database Server
• Oracle Enterprise Manager
• Oracle GoldenGate
• Oracle Analytics และ Retail Applications

รวมถึงระบบอื่น ๆ เช่น Blockchain Platform, REST Data Services, JD Edwards, Supply Chain และ Utilities Applications

4. แนวทางการแก้ไข ผู้ดูแลระบบควรดำเนินการดังนี้

4.1 ตรวจสอบผลิตภัณฑ์ Oracle ที่ใช้งานภายในหน่วยงาน
4.2 อัปเดตแพตช์ความปลอดภัยตาม Critical Patch Update Advisory เดือนเมษายน 2569 โดยทันที
4.3 ให้ความสำคัญกับระบบที่เปิดให้บริการผ่านเครือข่ายภายนอก (Internet-facing systems)
4.4 ตรวจสอบและอัปเดต third-party components ที่เกี่ยวข้อง
4.5 ทดสอบระบบหลังการอัปเดตเพื่อป้องกันผลกระทบต่อการให้บริการ

5. คำแนะนำด้านความปลอดภัยเพิ่มเติม

5.1 จำกัดการเข้าถึงระบบสำคัญเฉพาะผู้ใช้งานที่จำเป็น (Principle of Least Privilege)
5.2 ใช้ระบบยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication: MFA)
5.3 ตรวจสอบบันทึกเหตุการณ์ (Logs) เพื่อเฝ้าระวังพฤติกรรมผิดปกติ
5.4 แยกเครือข่าย (Network Segmentation) เพื่อลดผลกระทบหากถูกโจมตี
5.5 จัดทำแผนสำรองข้อมูล (Backup) และแผนตอบสนองเหตุการณ์ (Incident Response Plan)
5.6 ติดตามประกาศด้านความมั่นคงปลอดภัยจาก Oracle และหน่วยงานที่เกี่ยวข้องอย่างต่อเนื่อง

แหล่งอ้างอิง

[1] https://dg.th/y0p2msi9uo
[2] https://dg.th/9jw2i1zeu0

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ตรวจพบการโจมตีทางไซเบอร์ต่อผู้ให้บริการแพลตฟอร์มคลาวด์และผู้สร้าง Next.js โดยผู้โจมตีใช้มัลแวร์ประเภท Infostealer ขโมยข้อมูลประจำตัวของพนักงาน นำไปสู่การเจาะระบบภายในและเข้าถึงข้อมูลสภาพแวดล้อม ซึ่งส่งผลกระทบต่อความปลอดภัยของซอร์สโค้ดและบัญชีผู้ใช้งานบางส่วน [1]

1. รายละเอียดลักษณะการทำงานของมัลแวร์ [2]
   1.1 ขโมยข้อมูลผ่าน Infostealer มัลแวร์ "Lumma Stealer" แอบดึงข้อมูลประจำตัว (Credentials) และ Session Cookies จากเครื่องคอมพิวเตอร์ของพนักงานที่ใช้งานเครื่องมือ AI ของบุคคลที่สาม
   1.2 ยึดสิทธิ์บัญชีองค์กร ผู้โจมตีนำข้อมูลที่ได้ไปเข้ายึดบัญชี Google Workspace ของพนักงาน เพื่อใช้เป็นฐานเจาะเข้าระบบอื่นภายในองค์กร
   1.3 เจาะระบบและดึงข้อมูล อาศัยสิทธิ์บัญชีที่ยึดมาได้ เข้าถึงระบบภายในและรวบรวมตัวแปรสภาพแวดล้อมที่ตั้งค่าไว้ว่า "ไม่ละเอียดอ่อน" รวมถึงพยายามเข้าถึงฐานข้อมูลและซอร์สโค้ด

2. กลุ่มเป้าหมายและระบบที่ได้รับผลกระทบ
   2.1 อุปกรณ์พนักงานที่ติดตั้งซอฟต์แวร์หรือเครื่องมือบุคคลที่สามที่ขาดมาตรการรักษาความปลอดภัย
   2.2 บัญชีลูกค้าผู้ใช้งานแพลตฟอร์มบางส่วน โดยผู้ที่ได้รับผลกระทบจะได้รับการติดต่อให้รีเซ็ตรหัสผ่านโดยตรง
   2.3 ระบบแอปพลิเคชันที่ตั้งค่าแบบไม่เข้ารหัส หรือไม่ได้ระบุว่าเป็นข้อมูลละเอียดอ่อน

3. รูปแบบการแพร่กระจายและการโจมตี
   เป็นการโจมตีแบบห่วงโซ่อุปทาน (Supply Chain Attack) โดยพุ่งเป้าไปที่จุดอ่อนของซอฟต์แวร์บุคคลที่สาม (Context.ai) ผู้โจมตีใช้มัลแวร์ Lumma Stealer ซึ่งมักแฝงมากับซอฟต์แวร์เถื่อนหรือไฟล์หลอกดาวน์โหลดออนไลน์ เพื่อขโมยสิทธิ์การเข้าถึงจากเครื่องพนักงาน

4. แนวทางการป้องกัน
   4.1 จำกัดสิทธิ์ ตรวจสอบและจำกัดสิทธิ์ของแอปพลิเคชันบุคคลที่สามที่เชื่อมต่อกับบัญชีองค์กรอย่างเคร่งครัด
   4.2 บังคับใช้ MFA ใช้การยืนยันตัวตนหลายปัจจัย โดยเน้น Hardware Security Key เพื่อป้องกันการถูกขโมย Session Cookies
   4.3 เข้ารหัสข้อมูลสำคัญ จัดเก็บความลับ เช่น API Keys หรือรหัสผ่าน ไว้ในรูปแบบ "Sensitive/Secret Environment Variables" เพื่อให้ระบบเข้ารหัสข้อมูลขั้นสูง
   4.4 รักษาความปลอดภัยอุปกรณ์ (Endpoint) ติดตั้งและอัปเดตระบบป้องกัน (EDR/Antivirus) บนเครื่องพนักงาน และหลีกเลี่ยงการใช้งานซอฟต์แวร์เถื่อน
   
   #CyberSecurity #ThaiCERT #LummaStealer #DataBreach #SupplyChainAttack #Infosec #ITAdmin

แหล่งอ้างอิง
[1] https://dg.th/ncl46w2kqz
[2] https://dg.th/det6hsmwyb

Vulnerabilities

• Progress Patches Multiple Vulnerabilities In MOVEit WAF, LoadMaster
  "Progress Software on Monday rolled out patches for multiple MOVEit WAF and LoadMaster vulnerabilities that could lead to remote code execution (RCE) and OS command injection. Two of the bugs, CVE-2026-3517 and CVE-2026-3519, impact APIs in Progress ADC products and could be exploited by users with ‘Geo Administration’ and ‘VS Administration’ permissions for the execution of arbitrary commands on the LoadMaster appliance. The flaws exist because the ‘addcountry’ and ‘aclcontrol’ commands do not properly sanitize user-supplied input."
  https://www.securityweek.com/progress-patches-multiple-vulnerabilities-in-moveit-waf-loadmaster/
  https://community.progress.com/s/article/MOVEit-WAF-Critical-Security-Bulletin-April-2026-CVE-2026-3517-CVE-2026-3518-CVE-2026-3519-CVE-2026-4048-CVE-2026-21876
• Actively Exploited Apache ActiveMQ Flaw Impacts 6,400 Servers
  "Nonprofit security organization Shadowserver found that over 6,400 Apache ActiveMQ servers exposed online are vulnerable to ongoing attacks exploiting a high-severity code injection vulnerability. Apache ActiveMQ is the most popular open-source multi-protocol message broker for asynchronous communication between Java applications. Tracked as CVE-2026-34197, the vulnerability was discovered by Horizon3 researcher Naveen Sunkavally using the Claude AI assistant after remaining undetected for 13 years."
  https://www.bleepingcomputer.com/news/security/actively-exploited-apache-activemq-flaw-impacts-6-400-servers/
• Unsecured Perforce Servers Expose Sensitive Data From Major Orgs
  "A researcher has analyzed internet-facing Perforce P4 servers and found that many are still misconfigured, exposing highly sensitive information. Perforce P4 (formerly Helix Core) is a centralized version control platform built to handle the massive data requirements of industries like AAA gaming and semiconductor design. While P4 serves an important role, it can be valuable for threat actors if left unprotected. Australian security researcher Morgan Robertson conducted an analysis of internet-exposed Perforce servers in the spring of 2025 and found 6,122 instances."
  https://www.securityweek.com/unsecured-perforce-servers-expose-sensitive-data-from-major-orgs/
  https://morganrobertson.net/p4wned/

Malware

• Lotus Wiper: a New Threat Targeting The Energy And Utilities Sector
  "In light of geopolitical tensions that occurred in the Caribbean region in late 2025 and early 2026, artifacts associated with the attack chain of a destructive wiping campaign targeting the energy and utilities sector in Venezuela were identified on a publicly available resource. They were uploaded in mid-December. Two batch scripts are responsible for initiating the destructive phase of the attack and preparing the environment for executing the final wiper payload. These scripts coordinate the start of the operation across the network, weaken system defenses, and disrupt normal operations before retrieving, deobfuscating and executing a previously unknown wiper that we dubbed ‘Lotus Wiper’. The wiper removes recovery mechanisms, overwrites the content of physical drives, and systematically deletes files across affected volumes, ultimately leaving the system in an unrecoverable state."
  https://securelist.com/tr/lotus-wiper/119472/
  https://www.bleepingcomputer.com/news/security/new-lotus-data-wiper-used-against-venezuelan-energy-utility-firms/
• New NGate Variant Hides In a Trojanized NFC Payment App
  "ESET Research has discovered a new variant of the NGate malware family that abuses a legitimate Android application called HandyPay, instead of the previously leveraged NFCGate tool. The threat actors took the app, which is used to relay NFC data, and patched it with malicious code that appears to have been AI-generated. As with previous iterations of NGate, the malicious code allows the attackers to transfer NFC data from the victim’s payment card to their own device and use it for contactless ATM cash-outs and unauthorized payments. Additionally, the code can also capture the victim’s payment card PIN and exfiltrate it to the operators’ C&C server."
  https://www.welivesecurity.com/en/eset-research/new-ngate-variant-hides-in-a-trojanized-nfc-payment-app/
  https://thehackernews.com/2026/04/ngate-campaign-targets-brazil.html
  https://www.bleepingcomputer.com/news/security/ngate-android-malware-uses-handypay-nfc-app-to-steal-card-data/
  https://www.infosecurity-magazine.com/news/trojanized-android-handle-nfc/
  https://www.helpnetsecurity.com/2026/04/21/android-ngate-nfc-malware/
• Bad Apples: Weaponizing Native MacOS Primitives For Movement And Execution
  "As macOS adoption in the enterprise reaches record highs, with over 45 percent of organizations now utilizing the platform, the traditional "security through obscurity" narrative surrounding the OS has been rendered obsolete. Mac endpoints, once relegated to creative departments, are now the primary workstations for developers, DevOps engineers, and system administrators. Consequently, these machines have become high-value targets that serve as gateways to source code repositories, cloud infrastructure, and sensitive production credentials. Despite this shift, macOS-native lateral movement and execution tradecraft remain significantly understudied compared to their Windows counterparts. This research was conducted to address this critical knowledge gap. Through a systematic validation of native macOS protocols and system binaries, it is demonstrated how adversaries can “live off the land” (LOTL) by repurposing legitimate administrative tools."
  https://blog.talosintelligence.com/bad-apples-weaponizing-native-macos-primitives-for-movement-and-execution/
• Threat Advisory: Uptick In Bomgar RMM Exploitation
  "Over the past two weeks, the Huntress Security Operations Center (SOC) has seen an uptick in incidents involving compromised Bomgar remote monitoring and management (RMM) instances. The uptick follows intermittent waves of exploitation we have seen over the past two months, after BeyondTrust first disclosed a critical-severity flaw (CVE-2026-1731) in Bomgar in February. On February 6, 2026, BeyondTrust issued fixes for the flaw in Bomgar (rebranded as BeyondTrust Remote Support), which could be exploited by an unauthenticated attacker to remotely execute code. During this timeframe, the SOC observed an initial spike in exploitation of Bomgar RMMs starting on February 12, which involved at least 10 impacted organizations. Then, starting around April 3, the SOC saw another increase in attacks."
  https://www.huntress.com/blog/uptick-bomgar-exploitation
  https://www.darkreading.com/cyberattacks-data-breaches/surge-bomgar-rmm-exploitation-demonstrates-supply-chain-risk
• MacOS ClickFix Campaign: AppleScript Stealers & New Terminal Protections
  "Netskope Threat Labs is continuing its coverage of a ClickFix campaign targeting both Windows and macOS users. While our previous post focused on a modular NodeJS-based remote access trojan (RAT) for Windows, this post details a parallel infection chain delivering an AppleScript-based infostealer to macOS users. The macOS infostealer is designed to harvest a wide range of sensitive data, including keychain databases, login credentials, and live session cookies from 12 different browsers, over 200 browser extensions, and 16 standalone cryptocurrency wallets. To secure the victim’s credentials, the malware uses a non-closable persistent dialog box that forces users to provide their system password. This box is highly convincing; it mimics a legitimate system prompt and loads the standard macOS icons from local resources to trick the user into entering their device password."
  https://www.netskope.com/blog/macos-clickfix-campaign-applescript-stealers-new-terminal-protections
  https://www.theregister.com/2026/04/21/macos_clickfix_attacks_deliver_applescript/
• Weaponizing Trust Signals: Claude Code Lures And GitHub Release Payloads
  "In late March 2026, Anthropic inadvertently released the internal Claude Code source material as part of an npm package that included a large internal source map file. Although the incident stemmed from a simple packaging mistake, threat actors were quick to capitalize on the resulting attention. Only 24 hours after the leak, they were able to create fake GitHub repositories to distribute credential-stealing malware disguised as “leaked” Claude Code downloads. This incident demonstrates that security compromise is not limited to software vulnerabilities: human factors and organizational control gaps often serve as catalyst for threats and are primary drivers of material impact. In this blog entry, we will talk about our analysis of the threats capitalizing on this incident, the downstream risks of the leaked source code, and the actions organizations should take next."
  https://www.trendmicro.com/en_us/research/26/d/weaponizing-trust-claude-code-lures-and-github-release-payloads.html
• Void Dokkaebi Uses Fake Job Interview Lure To Spread Malware Via Code Repositories
  "Void Dokkaebi, also tracked as Famous Chollima, is a North Korea-aligned intrusion set that systematically targets software developers who hold cryptocurrency wallet credentials, signing keys, and access to continuous integration/continuous delivery (CI/CD) pipelines and production infrastructure. As previously documented by TrendAI Research, the group poses as recruiters from cryptocurrency and AI firms, luring developers into cloning and executing code repositories as part of fabricated job interviews. This is a pattern independently tracked across the industry since 2024, but less attention has been paid to what happens after the initial compromise."
  https://www.trendmicro.com/en_us/research/26/d/void-dokkaebi-uses-fake-job-interview-lure-to-spread-malware-via-code-repositories.html
• Chinese APT Targets Indian Banks, Korean Policy Circles
  "If you knew only two things about China's state-sponsored advanced persistent threat (APT) Mustang Panda (aka TA416, Bronze President, Stately Taurus), they would probably be, first, that it frequently shifts its tactics, techniques, and procedures (TTPs), and second, that its focus is solely on geopolitical espionage. But Mustang Panda seems to have diverged from that target and has trained its sights on India's banking sector. Square that with its most newly discovered campaign, which employs no interesting TTPs, and though partly focused against American and Korean public policy circles, is aimed largely at financial organizations in India. Despite the differences, researchers at Acronis believe this string of activity belongs to Mustang Panda, thanks to shared code, operational patterns, and more."
  https://www.darkreading.com/cyberattacks-data-breaches/chinese-apt-indian-banks-korean-policy
• Analyzing The RondoDox Botnet: A DDoS And Mining Threat
  "A few weeks ago we published the first part of this series where we described the infrastructure used by the RondoDox threat actors to scan and exploit vulnerable systems. In this second post we’ll take a deep dive into the malware that is deployed into vulnerable systems. Specifically, we’ll look at the initial implant used to fetch the RondoDox binary and the binary itself, detailing its behaviour, how it communicates with the Command and Control (C2), and its malicious capabilities."
  https://www.bitsight.com/blog/rondodox-botnet-malware-analysis
• Multi-Stage SEO Poisoning Campaign Targets Chinese-Speaking Developers With Kong RAT
  "In March 2026, eSentire's Threat Response Unit detected a sophisticated multi-stage malware campaign targeting Chinese-speaking developers and IT professionals through Search engine optimization (SEO) poisoning. Victims searching for popular Chinese developer tools including FinalShell SSH client, Xshell, QuickQ VPN, and Clash proxy, were redirected to convincing lookalike domains that delivered trojanized installers. TRU is tracking this threat as Kong RAT, named for its consistent use of the string "Kong" across registry keys/file paths used by the malware. The campaign's infrastructure consists of a network of spoofed Chinese software domains hosted on shared infrastructure, active from May 2025 through March 2026. Initial payloads were delivered via Alibaba Cloud Object Storage (Hong Kong region), and all stages consistently used oss-cn-hongkong.aliyuncs[.]com for payload hosting and C2 telemetry."
  https://www.esentire.com/blog/multi-stage-seo-poisoning-campaign-targets-chinese-speaking-developers-with-kong-rat

Breaches/Hacks/Leaks

• Data Breaches At Healthcare Organizations In Illinois And Texas Affect 600,000
  "Three US healthcare organizations — two in Illinois and one in Texas — have disclosed data breaches affecting a total of nearly 600,000 individuals. The data breach tracker operated by the US Department of Health and Human Services (HHS) was updated this week to add three healthcare-related cybersecurity incidents impacting a significant number of people. The biggest breach was disclosed by the North Texas Behavioral Health Authority, affecting 285,000 individuals."
  https://www.securityweek.com/data-breaches-at-healthcare-organizations-in-illinois-and-texas-affect-600000/
• Crook Claims To Leak 'video Surveillance Footage' Of Companies
  "A Mexican IT infrastructure and digital transformation biz is on clean-up duty after a criminal posted screenshots of what they claimed was company video surveillance footage to a cybercrime forum. Monterrey-based Be Prime confirmed that it was the victim of a "cybersecurity incident" on Thursday, after the criminal, who used the alias "dylanmarly," made sweeping claims about an attack they claim to have carried out. Screenshots published by the attacker depicted access to Be Prime's Cisco Meraki Vision panel, which, if true, would have allowed access to live feeds around its clients' offices, including cameras overlooking different teams' workspaces."
  https://www.theregister.com/2026/04/21/be_prime_cctv_leak/
• Adaptavist Group Breach Spawns Imposter Emails As Ransomware Crew Claims Mega-Haul
  "UK enterprise software consultancy The Adaptavist Group is investigating a security breach after an intruder logged in with stolen credentials, while a ransomware crew claims it grabbed far more than the company is currently admitting. In a letter to customers, Adaptavist's CEO Simon Haighton-Williams said the biz detected an "IT security incident" in late March after an attacker used compromised login details to gain unauthorized access to some of its systems. The company, which builds and sells tools and services around platforms like Atlassian's Jira and Confluence, has brought in external security specialists and says a forensic investigation is underway to work out what, if anything, was accessed or taken."
  https://www.theregister.com/2026/04/21/adaptavist_group_breach_spawns_impostor/
  https://www.theadaptavistgroup.com/letters/april-2026

General News

• Researchers Build An Encrypted Routing Layer For Private AI Inference
  "Organizations in healthcare, finance, and other sensitive industries want to use large AI models without exposing private data to the cloud servers running those models. A cryptographic technique called Secure Multi-Party Computation (MPC) makes this possible. It splits data into encrypted fragments, distributes them across two or more servers that do not share information with each other, and lets those servers compute an AI result without either one ever seeing the raw input. The catch is speed. A standard mid-sized language model that returns a result in under a second when running normally can take more than 60 seconds when processed under MPC. The encryption overhead is that large."
  https://www.helpnetsecurity.com/2026/04/21/securerouter-encrypted-ai-inference/
  https://arxiv.org/pdf/2604.15499
• Iran Claims US Used Backdoors To Knock Out Networking Equipment During War
  "Iranian media is claiming that the US used backdoors and/or botnets to disable networking equipment during the current war, and Chinese state media is dining out on the allegations. Reports from Iran claim hardware made by Cisco, Juniper, Fortinet, and MikroTik either rebooted or disconnected during recent attacks on Iran – despite the regime disconnecting the nation from the global internet. The reports suggest that’s only possible because someone – probably the US – can sabotage the equipment at will."
  https://www.theregister.com/2026/04/21/iran_claims_us_used_backdoors/
• Former Ransomware Negotiator Pleads Guilty To BlackCat Attacks
  "41-year-old Angelo Martino, a former employee of cybersecurity incident response company DigitalMint, has pleaded guilty to targeting U.S. companies in BlackCat (ALPHV) ransomware attacks in 2023. Together with two other Sygnia and DigitalMint ransomware negotiators (33-year-old Ryan Clifford Goldberg and 28-year-old Kevin Tyler Martin), Martino was charged with conspiracy to interfere with interstate commerce by extortion, interference with interstate commerce by extortion, and intentional damage to protected computers. Martino was initially identified only as "Co-Conspirator 1" in an October 2025 indictment, but was named in court documents unsealed in March. Martin and Goldberg also pleaded guilty to conspiracy to obstruct commerce by extortion and are facing up to 20 years in prison each."
  https://www.bleepingcomputer.com/news/security/former-ransomware-negotiator-pleads-guilty-to-blackcat-attacks/
  https://thehackernews.com/2026/04/ransomware-negotiator-pleads-guilty-to.html
  https://www.darkreading.com/insider-threats/ransomware-negotiator-pleads-guilty-blackcat-scheme
  https://cyberscoop.com/digitalmint-ransomware-negotiator-angelo-martino-guilty-plea/
  https://www.securityweek.com/third-us-security-expert-admits-helping-ransomware-gang/
  https://securityaffairs.com/191100/security/ransomware-negotiator-caught-secretly-assisting-blackcat-extortion-scheme.html
  https://www.helpnetsecurity.com/2026/04/21/ransomware-negotiator-blackcat-alphv-group/
  https://www.theregister.com/2026/04/21/yet_another_ex_ransomware_negotiator_pleads/
• Mythos Can Find The Vulnerability. It Can’t Tell You What To Do About It.
  "Mythos matters. It is a significant step forward in AI-assisted vulnerability discovery. But it does not mean cybersecurity changed overnight, nor does it mean enterprises are suddenly facing fully automated exploitation at internet scale tomorrow. It does mean the offensive side of AI is continuing to improve. The defensive side needs to catch up now. Mythos is the latest step in a longer trend. Over the next several years, expect the same pattern to repeat: incremental progress, then a jump; incremental progress, then a jump. Models will get more capable and cheaper with each cycle, and each jump will put more pressure on security teams still operating at human speed."
  https://cyberscoop.com/anthropic-mythos-vulnerability-discovery-op-ed/
• Microsoft Vulnerabilities Drop, But Critical Flaws Double, Report Warns
  "The total number of security flaws in Microsoft software has dropped by 6% to 1,273 this year, which on the surface indicates that things are actually getting better. However, it hides a dangerous trend- the most dangerous or critical flaws have doubled. BeyondTrust, a privilege-centric identity security leader, just released its 13th annual Microsoft Vulnerabilities Report, which reveals that while hackers are finding fewer bugs overall, the ones they are finding are far more powerful. “Don’t be distracted by the dip in total vulnerabilities,” says James Maude, Field CTO at BeyondTrust, “critical vulnerabilities doubled. This is a warning that risk is not decreasing, it is concentrating, and it is concentrating around privilege.”"
  https://hackread.com/microsoft-vulnerabilities-drop-critical-flaws-double/
• 2026 CISO AI Risk Report [Saviynt]
  "Many security leaders didn’t authorize AI expansion. It happened around them. Someone plugged in a copilot in a SaaS tool or an engineering team tested an agent or a business unit installed an assistant without waiting for approval. None of these choices feel significant in isolation, but together they create systems acting on behalf of people, without the structures we rely on to govern human access. In our survey of more than 200 CISOs and security leaders, the same concerns surfaced repeatedly. AI systems already have meaningful access, often with privilege levels no one explicitly granted. They generate activity that can be difficult to trace, behave in ways that don’t match human patterns, and sometimes leave behind incomplete or temporary records. None of this is catastrophic on its own, but it complicates the basic questions security teams rely on, namely: “Who did this?” and “Should this action have been allowed?”"
  https://www.cybersecurity-insiders.com/portfolio/2026-ciso-ai-risk-report-saviynt/
  https://www.cybersecurity-insiders.com/wp-content/uploads/2026-AI-Identity-Risk-Report-Saviynt-by-CSI-1.6.pdf
  https://hackread.com/the-ungoverned-workforce-cybersecurity-insiders-finds-92-lack-visibility-into-ai-identities/
• Unchecked AI Agents Cause Cybersecurity Incidents At Two Thirds Of Firms
  "Two thirds of organizations have suffered from a cybersecurity incident related to the deployment of AI agents during the last year, research by the Cloud Security Alliance (CSA) has warned. According to research, conducted alongside Token Security, unchecked AI agents operating on corporate networks caused damage including data exposure, operational disruption and financial losses. The CSA paper, titled Autonomous but Not Controlled: AI Agent Incidents Now Common in Enterprises, published on April 21, warned that the majority of organizations have no strategy set up around decommissioning AI agents, further putting them at risk of cybersecurity incidents."
  https://www.infosecurity-magazine.com/news/unchecked-ai-agents-cause/
• Outdated Software Has Become a Major Cybersecurity Liability
  "In the artificial intelligence (AI) era, IT and cybersecurity teams must ensure every device runs the most secure software version available. As cybercriminals gain access to more advanced AI models, the amount of time and effort required to first discover a vulnerability and develop a means to exploit it is now approaching zero. While that is likely to increase the number of unknown zero-day vulnerabilities that might be exploited, most cybercriminals will—at least initially—focus on exploiting known vulnerabilities faster than ever."
  https://blog.barracuda.com/2026/04/21/outdated-software-has-become-a-major-cybersecurity-liability
• No Exploit Needed: How Attackers Walk Through The Front Door Via Identity-Based Attacks
  "The cybersecurity industry has spent the last several years chasing sophisticated threats like zero-days, supply chain compromises, and AI-generated exploits. However, the most reliable entry point for attackers still hasn't changed: stolen credentials. Identity-based attacks remain a dominant initial access vector in breaches today. Attackers obtain valid credentials through credential stuffing from prior breach databases, password spraying against exposed services, or phishing campaigns — and use them to walk through the front door. No exploits needed. Just a valid username and password."
  https://thehackernews.com/2026/04/no-exploit-needed-how-attackers-walk.html
• Ukraine Busts ‘bot Farm’ Supplying Thousands Of Fake Telegram Accounts To Russian Spies
  "Ukrainian authorities have dismantled a so-called “bot farm” that police say was supplying thousands of fake social media accounts to Russian intelligence services for use in disinformation campaigns against Ukraine. Ukraine’s Security Service (SBU) and the National Police said on Monday they detained the suspected organizer of the network in the northern city of Zhytomyr and blocked nearly 20,000 fraudulent online profiles allegedly used in information operations directed by Moscow."
  https://therecord.media/ukraine-sbu-busts-bot-farm-supplying-russian-spies
• Nation-States Want To Cause Harm, Not Just Steal Cash - Stop Handing Your Cyber Defenses To The Cheapest Contractor
  "State-sponsored cyberattacks from Chinese intelligence and military agencies display "an eye-watering level of sophistication," UK National Cyber Security Centre CEO Richard Horne is expected to say in a less-than-cheery opening speech to kick off its annual conference. The NCSC has in previous years labelled the threat posed by China in cyberspace as "epoch-defining," although Horne re-jiggered this description in his opening plenary at CYBERUK 2026. According to a transcript of his speech shared with The Register ahead of time, Horne will tell delegates attending the Glasgow conference on Wednesday that China is no longer just a capable cyber threat, but thanks to its whole-of-state approach, it now represents "a peer competitor in cyberspace.""
  https://www.theregister.com/2026/04/21/ncsc_chinas_cyberattacks_uk/

อ้างอิง
Electronic Transactions Development Agency (ETDA)

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบช่องโหว่ในไลบรารี protobuf.js ซึ่งเป็นไลบรารี JavaScript ที่ใช้สำหรับจัดการข้อมูลแบบ Protocol Buffers และมีการใช้งานอย่างแพร่หลายในระบบ Node.js และแอปพลิเคชันจำนวนมาก [1]

1. รายละเอียดช่องโหว่ [2]
   CVE-2026-41242 (CVSS 4.0: 9.4) เป็นช่องโหว่ประเภท Remote Code Execution (RCE) สาเหตุเกิดจากการใช้ dynamic code generation ที่ไม่ปลอดภัยในการแปลง schema ของ protobuf เป็นฟังก์ชัน JavaScript โดยผู้โจมตีสามารถแทรกโค้ดอันตรายลงใน protobuf definitions ทำให้โค้ดดังกล่าวถูกประมวลผลในขั้นตอนการถอดรหัส (decode) ส่งผลให้สามารถรัน JavaScript บนระบบได้ ซึ่งอาจนำไปสู่การยึดครองระบบหรือโครงสร้างพื้นฐานขององค์กร รวมถึงการเข้าถึงข้อมูลสำคัญและการดำเนินกิจกรรมที่เป็นอันตรายภายในระบบ

ทั้งนี้ หน่วยงานสามารถตรวจสอบข้อมูลเพิ่มเติมได้ที่ https://dg.th/9djai7eyxq

2. เวอร์ชันที่ได้รับผลกระทบ
   • protobuf.js ต่ำกว่า 7.5.5
   • protobuf.js เวอร์ชัน 8.0.0-experimental ถึงก่อน 8.0.1

3. แนวทางการแก้ไข
   3.1 อัปเดตไลบรารี protobuf.js เป็นเวอร์ชันที่ได้รับการแก้ไขแล้วทันที
   3.2 หลีกเลี่ยงการใช้ protobuf definitions จากแหล่งที่ไม่น่าเชื่อถือ
   3.3 ใช้ระบบตรวจจับและป้องกันการบุกรุก (IDS/IPS) เพื่อเฝ้าระวังพฤติกรรมผิดปกติ

4. มาตรการชั่วคราว (กรณียังไม่สามารถอัปเดตได้ทันที)
   4.1 หลีกเลี่ยงการประมวลผล protobuf schema หรือข้อมูลจากแหล่งภายนอกที่ไม่เชื่อถือ
   4.2 จำกัดสิทธิ์การทำงาน
   4.3 ปิดการใช้งานฟังก์ชันหรือโมดูลที่ไม่จำเป็น เพื่อลดการโจมตี (Attack Surface)
   4.4 ใช้ sandbox หรือ runtime isolation สำหรับการประมวลผลข้อมูลที่มีความเสี่ยง

แหล่งอ้างอิง
[1] https://dg.th/jrdst2a38g
[2] https://dg.th/68b2xmodws

หมายเหตุ - อ้างอิง CVSS จาก https://www.cve.org/

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามพัฒนาการของเทคโนโลยีปัญญาประดิษฐ์ที่มีแนวโน้มส่งผลกระทบต่อภูมิทัศน์ภัยคุกคามทางไซเบอร์อย่างใกล้ชิด เนื่องจาก AI ในปัจจุบันไม่ได้ทำหน้าที่เพียงเป็นผู้ช่วยเขียนโค้ดหรือสนับสนุนการทำงานทั่วไปเท่านั้น แต่กำลังก้าวเข้าสู่บทบาทที่อาจส่งผลต่อสมดุลระหว่าง “ฝ่ายป้องกัน” และ “ฝ่ายโจมตี” ในโลกไซเบอร์อย่างมีนัยสำคัญ โดยเฉพาะเมื่อโมเดล AI มีขีดความสามารถมากพอที่จะช่วยค้นหาช่องโหว่ วิเคราะห์จุดอ่อนของระบบ และเร่งกระบวนการพัฒนาแนวทางการโจมตีให้เกิดขึ้นได้รวดเร็วและซับซ้อนมากยิ่งขึ้น
ในกรณีของ Mythos ซึ่งเป็นโมเดล AI ที่พัฒนาโดยบริษัท Anthropic ได้รับความสนใจอย่างมาก เนื่องจากมีการกล่าวถึงว่ามีศักยภาพโดดเด่นด้านความมั่นคงปลอดภัยไซเบอร์ ทั้งในด้านการช่วยค้นหาช่องโหว่ วิเคราะห์ความผิดปกติของซอฟต์แวร์ และสนับสนุนการพัฒนาแนวทางการโจมตีเชิงเทคนิคที่มีความซับซ้อนสูงกว่าที่เคยพบในโมเดลก่อนหน้า จุดที่ทำให้กรณีนี้มีนัยสำคัญ คือ AI ไม่ได้หยุดอยู่เพียงการ “อธิบาย” ปัญหา แต่ก้าวไปสู่การ “ช่วยค้นหา” และ “ช่วยต่อยอด” การใช้ประโยชน์จากจุดอ่อนของระบบได้มากขึ้น [1]

1. รายละเอียดด้านความเสี่ยงและแนวโน้มภัยคุกคาม [2]
   จากข้อมูลที่มีการกล่าวถึง Mythos มีขีดความสามารถในการช่วยค้นหาช่องโหว่แบบ zero-day ในระบบปฏิบัติการและเว็บเบราว์เซอร์หลัก รวมถึงสามารถช่วยสร้างหรือปรับปรุง exploit สำหรับโจมตีช่องโหว่บางประเภทได้ นอกจากนี้ยังถูกกล่าวว่าสามารถจัดการกับช่องโหว่ที่มีความซับซ้อน เช่น use-after-free, race condition, การข้ามกลไกป้องกันบางรูปแบบ และการค้นพบจุดอ่อนในซอฟต์แวร์ที่มีการใช้งานมานานโดยไม่ถูกตรวจพบมาก่อน
   ประเด็นที่ทำให้เรื่องนี้สำคัญ ไม่ได้อยู่เพียงที่ AI “เก่งขึ้น” ในเชิงเทคนิค แต่คือ AI อาจทำให้วงจรของการค้นหาช่องโหว่ การวิเคราะห์จุดอ่อน และการพัฒนาแนวทางโจมตี เกิดขึ้นได้รวดเร็วขึ้นอย่างมีนัยสำคัญ งานที่เดิมอาจต้องอาศัยผู้เชี่ยวชาญเฉพาะด้านจำนวนมาก อาจถูกย่นระยะเวลาและลดข้อจำกัดลงได้ด้วยการใช้ AI เป็นตัวช่วย
   ในเชิงวิพากษ์ กรณีนี้จึงควรถูกมองอย่างรอบด้าน กล่าวคือ แม้ศักยภาพที่แสดงออกมาจะสะท้อนความก้าวหน้าทางเทคโนโลยีอย่างมาก แต่ก็ไม่ควรตีความเกินจริงว่า AI จะสามารถโจมตีทุกระบบได้โดยอัตโนมัติในทุกบริบท อย่างไรก็ตาม สิ่งที่ควรให้ความสำคัญคือ AI ลักษณะนี้อาจทำให้ “ต้นทุนของการโจมตี” ลดลง และ “ความเร็วของการพัฒนาโจมตี” เพิ่มขึ้น ซึ่งเป็นประเด็นที่ส่งผลต่อความพร้อมขององค์กรโดยตรง

2. ผลกระทบที่อาจเกิดขึ้น
   ThaiCERT ประเมินว่า หากขีดความสามารถของ AI ลักษณะนี้แพร่หลายมากขึ้นในอนาคต อาจก่อให้เกิดผลกระทบในหลายด้าน ดังนี้
   • ทำให้การค้นหาช่องโหว่และการนำไปใช้โจมตีเกิดขึ้นได้รวดเร็วขึ้น
   • เพิ่มแรงกดดันต่อทีมรักษาความมั่นคงปลอดภัยไซเบอร์ในการวิเคราะห์และตอบสนองต่อเหตุการณ์
   • ทำให้ระบบเก่า ระบบที่มีหนี้ทางเทคนิคสะสม หรือระบบที่มีการพึ่งพาซอฟต์แวร์จากหลายแหล่ง มีความเสี่ยงมากขึ้น
   • เพิ่มโอกาสที่ช่องโหว่หลายรายการจะถูกเชื่อมโยงเข้าด้วยกันเป็นห่วงโซ่การโจมตีที่ซับซ้อนกว่าเดิม
   • อาจกระทบต่อโครงสร้างพื้นฐานสำคัญและบริการดิจิทัลที่ประชาชนใช้ในชีวิตประจำวัน เช่น ระบบการเงิน การสื่อสาร ระบบคลาวด์ และบริการออนไลน์ต่าง ๆ
   ในมุมของประชาชนทั่วไป แม้ประเด็น Mythos จะดูเหมือนเป็นเรื่องของนักวิจัยหรือบริษัทเทคโนโลยี แต่ผลกระทบปลายทางอาจเชื่อมโยงกับบริการที่ประชาชนใช้งานอยู่ทุกวัน หากเทคโนโลยีลักษณะนี้ทำให้การโจมตีไซเบอร์เกิดขึ้นเร็วขึ้นหรือมีประสิทธิภาพมากขึ้น บริการดิจิทัลที่เกี่ยวข้องกับชีวิตประจำวันก็อาจต้องเผชิญความเสี่ยงเพิ่มขึ้นด้วยเช่นกัน

3. สิ่งที่ต้องทำ: วิธีการแก้ไขและเตรียมพร้อมรับมือ
   ThaiCERT ขอแนะนำให้หน่วยงานและองค์กรที่เกี่ยวข้องเร่งทบทวนความพร้อมในการรับมือภัยคุกคามไซเบอร์ในยุค AI โดยมีแนวทางสำคัญ ดังนี้
   • ทบทวนสมมติฐานด้านภัยคุกคามขององค์กร โดยคำนึงถึงผู้โจมตีที่อาจใช้ AI เป็นตัวช่วยในการค้นหาและพัฒนาแนวทางโจมตีได้รวดเร็วและซับซ้อนมากขึ้น รวมถึงปรับแนวทางการประเมินความเสี่ยงให้สอดคล้องกับบริบทภัยคุกคามในยุคปัจจุบัน
   • เพิ่มความสามารถในการมองเห็นทรัพย์สินดิจิทัลและ attack surface ขององค์กรอย่างต่อเนื่อง โดยครอบคลุมระบบที่เปิดรับจากภายนอก พร้อมทั้งลดช่องทางการโจมตีที่ไม่จำเป็น และติดตามสถานะความเสี่ยงได้อย่างใกล้เคียงเวลาจริง
   • ยกระดับการบริหารจัดการช่องโหว่ โดยเพิ่มความถี่ในการตรวจสอบ เร่งลดระยะเวลาจากการตรวจพบไปสู่การแก้ไข และจัดลำดับความสำคัญของการแพตช์โดยคำนึงถึงโอกาสในการถูกนำไปใช้โจมตีจริง ควบคู่กับระดับความรุนแรงของช่องโหว่
   • เสริมความสามารถในการจำกัดความเสียหายและฟื้นฟูระบบ โดยทบทวนสถาปัตยกรรมความมั่นคงปลอดภัย เช่น การจำกัดสิทธิ์ การแบ่งส่วนเครือข่าย และการจัดให้มีการสำรองข้อมูลตามหลัก 3-2-1 Backup รวมถึงการแยกเก็บข้อมูลสำรองออกจากระบบหลัก เพื่อป้องกันไม่ให้ถูกลบหรือแก้ไขได้เมื่อระบบถูกโจมตี
   • ปรับตัวเชิงรุกต่อภัยคุกคามในยุค AI โดยพิจารณาการนำเทคโนโลยี AI มาใช้เสริมศักยภาพด้านการป้องกัน ควบคู่กับการคงกระบวนการที่มีผู้เชี่ยวชาญกำกับดูแลในจุดตัดสินใจสำคัญ และกำหนดแนวทางกำกับดูแลการใช้งาน AI อย่างเหมาะสม เพื่อลดความเสี่ยงเชิงระบบในระยะยาว

ในปัจจุบันยังไม่พบการเปิดใช้โจมตีในวงกว้าง แต่มีการจำกัดการเข้าถึงเพื่อใช้ด้านการป้องกัน จากข้อมูลที่มีการกล่าวถึงในเวลานี้ ประเด็นของ Mythos ยังอยู่ในลักษณะของการสะท้อน “ศักยภาพ” และ “ความกังวลเชิงความเสี่ยง” มากกว่าการเปิดใช้ในวงกว้าง โดยมีการระบุว่าผู้พัฒนาได้จำกัดการเข้าถึง และเปิดให้บางหน่วยงานภายใต้โครงการ Glasswing ใช้งานในบริบทด้านการป้องกัน เพื่อช่วยตรวจสอบ ค้นหาช่องโหว่ และปิดจุดอ่อนในซอฟต์แวร์ก่อนที่จะเกิดการนำเทคโนโลยีลักษณะเดียวกันไปใช้ในทางที่ไม่เหมาะสมอย่างแพร่หลาย
จุดนี้สะท้อนให้เห็นว่าแม้แต่ผู้พัฒนาเองก็รับรู้ถึงความอ่อนไหวของเทคโนโลยีดังกล่าว และเลือกใช้แนวทางที่เน้นการควบคุมการเข้าถึงและการใช้ในเชิงป้องกันเป็นลำดับแรก

ThaiCERT เห็นว่า กรณี Mythos เป็นสัญญาณเตือนสำคัญว่า โลกไซเบอร์กำลังก้าวเข้าสู่ช่วงเปลี่ยนผ่านที่ AI อาจมีบทบาทต่อทั้งการป้องกันและการโจมตีอย่างชัดเจนมากขึ้น แม้ยังไม่ควรตื่นตระหนกเกินไป เพราะการแสดงศักยภาพของ AI ในสภาพแวดล้อมควบคุมยังไม่เท่ากับการโจมตีจริงในทุกบริบท แต่ก็ไม่ควรมองข้ามว่าแนวโน้มนี้กำลังทำให้ภัยคุกคามไซเบอร์ เร็วขึ้น ซับซ้อนขึ้น และกดดันต่อระบบป้องกันมากขึ้น
ดังนั้น ไม่ว่าจะเป็นภาครัฐ ภาคเอกชน ผู้เชี่ยวชาญ หรือประชาชนทั่วไป ต่างควรตระหนักร่วมกันว่า AI ที่มีความสามารถด้านไซเบอร์สูงอาจนำมาทั้งประโยชน์และความเสี่ยงในเวลาเดียวกัน การเตรียมพร้อมตั้งแต่วันนี้ ทั้งในด้านเทคโนโลยี กระบวนการ บุคลากร และนโยบาย จะเป็นปัจจัยสำคัญในการลดผลกระทบและเสริมสร้างความมั่นคงปลอดภัยให้กับระบบดิจิทัลในอนาคต
ThaiCERT ขอแนะนำให้หน่วยงานและประชาชนติดตามพัฒนาการด้าน AI และความมั่นคงปลอดภัยไซเบอร์อย่างใกล้ชิด พร้อมทบทวนมาตรการป้องกันของตนอย่างสม่ำเสมอ เพื่อให้สามารถลดความเสี่ยงและรับมือกับภัยคุกคามรูปแบบใหม่ได้อย่างเหมาะสมและทันท่วงที
#ThaiCERT #CyberSecurity #AISecurity #ThreatAwareness #DigitalRisk

แหล่งอ้างอิง
[1] https://www.anthropic.com/glasswing
[2] https://www.picussecurity.com/resource/blog/anthropics-project-glasswing-paradox
[3] https://gizmodo.com/anthropic-launches-project-glasswing-to-stealthily-spot-cybersecurity-issues-for-rivals-2000743565

วันที่ 21 เมษายน 2026 Cybersecurity and Infrastructure Security Agency (CISA) เผยแพร่ประกาศเพื่อให้แนวทางในการรับมือกรณีการโจมตีห่วงโซ่อุปทานซอฟต์แวร์ (software supply chain compromise) ที่ส่งผลกระทบต่อแพ็กเกจ Axios บน npm โดย Axios เป็นไคลเอนต์ HTTP สำหรับ JavaScript ที่นักพัฒนานิยมใช้งานอย่างแพร่หลายในสภาพแวดล้อม Node.js และเบราว์เซอร์

ในวันเมื่อวันที่ 31 มีนาคม 2026 พบว่าแพ็กเกจ npm ของ Axios จำนวน 2 เวอร์ชัน ได้แก่ [email protected] และ [email protected] ถูกแทรก dependency ที่เป็นอันตรายชื่อ [email protected] ซึ่งมีพฤติกรรมดาวน์โหลดเพย์โหลดหลายขั้นตอนจากโครงสร้างพื้นฐานของผู้ไม่หวังดีทางไซเบอร์ รวมถึง โทรจันสำหรับการเข้าถึงระบบจากระยะไกล (remote access trojan) บนเครื่องที่ได้รับผลกระทบได้

CISA ขอให้องค์กรดำเนินมาตรการต่อไปนี้เพื่อตรวจจับและแก้ไขความเสียหายที่อาจเกิดขึ้นจากการถูกโจมตี

• เฝ้าระวังและตรวจสอบคลังเก็บซอร์สโค้ด (code repositories), ระบบ Continuous Integration/Continuous Delivery (CI/CD) และเครื่องของนักพัฒนาที่มีการรันคำสั่ง npm install หรือ npm update โดยใช้ Axios เวอร์ชันที่ได้รับผลกระทบ
• ค้นหาเวอร์ชันที่ถูกแคชไว้ของ dependency ที่ได้รับผลกระทบใน artifact repositories และเครื่องมือจัดการ dependency พร้อมทั้งกำหนด (pin) เวอร์ชันของ npm package dependencies ให้เป็นเวอร์ชันที่ยืนยันแล้วว่าปลอดภัย
• หากตรวจพบ dependency ที่ถูกบุกรุก ให้ย้อนสภาพแวดล้อมกลับไปยังสถานะที่ปลอดภัยและเชื่อถือได้
• ปรับลดเวอร์ชันไปใช้ [email protected] หรือ [email protected] และลบไดเรกทอรี node_modules/plain-crypto-js/
• เปลี่ยนหรือเพิกถอนข้อมูลรับรอง (credentials) ที่อาจรั่วไหลบนระบบหรือใน pipeline ที่ได้รับผลกระทบ เช่น โทเคนของระบบควบคุมเวอร์ชัน (VCS tokens), ความลับในระบบ CI/CD, cloud keys, npm tokens และกุญแจ Secure Shell (SSH) สำหรับงาน CI แบบชั่วคราว (ephemeral CI jobs) ควรเปลี่ยนความลับทั้งหมดที่ถูกนำไปใช้ในรอบการทำงานที่ได้รับผลกระทบ
• เฝ้าระวังกระบวนการย่อย (child processes) ที่ไม่คาดคิด และพฤติกรรมเครือข่ายที่ผิดปกติ โดยเฉพาะในระหว่างการรัน npm install หรือ npm update
• บล็อกและเฝ้าระวังการเชื่อมต่อขาออกไปยังโดเมน Sfrclak[.]com
• ดำเนินการค้นหาตัวบ่งชี้การถูกโจมตี (Indicators of Compromise: IoCs) อย่างต่อเนื่อง และตรวจสอบเชิงลึกด้วยระบบ Endpoint Detection and Response (EDR) เพื่อยืนยันว่าไม่มีร่องรอยการบุกรุกหลงเหลืออยู่ รวมทั้งต้องมั่นใจว่าไม่มีการเชื่อมต่อออกไปยังระบบ Command and Control (C2) อีกต่อไป

นอกจากนี้ CISA ยังแนะนำให้องค์กรที่ใช้งาน Axios บน npm ดำเนินมาตรการเพิ่มเติม ดังนี้

• บังคับใช้การยืนยันตัวตนหลายปัจจัยแบบต้านทานฟิชชิง (phishing-resistant multifactor authentication: MFA) กับบัญชีนักพัฒนาทั้งหมด โดยเฉพาะบัญชีที่ใช้กับแพลตฟอร์มสำคัญ
• กำหนดค่า ignore-scripts=true ในไฟล์กำหนดค่า .npmrc เพื่อป้องกันไม่ให้สคริปต์ที่อาจเป็นอันตรายถูกรันระหว่างการติดตั้งแพ็กเกจด้วย npm
• กำหนดค่า min-release-age=7 ในไฟล์ .npmrc เพื่ออนุญาตให้ติดตั้งเฉพาะแพ็กเกจที่ถูกเผยแพร่มาแล้วอย่างน้อย 7 วัน ซึ่งช่วยลดความเสี่ยงจากการติดตั้งแพ็กเกจที่ยังไม่ได้รับการตรวจสอบอย่างรอบคอบ หรืออาจเป็นแพ็กเกจที่เป็นอันตราย
• จัดทำและคงไว้ซึ่งค่าพื้นฐานของพฤติกรรมการทำงานปกติ (baseline) สำหรับเครื่องมือที่ใช้งาน Axios
• ตั้งค่าแจ้งเตือนเมื่อ dependency มีพฤติกรรมผิดไปจากปกติ เช่น มีการสร้างคอนเทนเนอร์ เปิดเชลล์ หรือสั่งรันคำสั่งต่าง ๆ รวมถึงติดตามกิจกรรมเครือข่ายขาออกเพื่อค้นหาการเชื่อมต่อที่ผิดปกติ

สำหรับแนวทางเพิ่มเติมเกี่ยวกับกรณีการโจมตีครั้งนี้ CISA แนะนำให้ศึกษาเอกสารจากแหล่งข้อมูลต่อไปนี้
GitHub: https://github.com/axios/axios/issues/10636
Microsoft: https://www.microsoft.com/en-us/security/blog/2026/04/01/mitigating-the-axios-npm-supply-chain-compromise/
StepSecurity: https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan
npm Docs: https://docs.npmjs.com/packages-and-modules/securing-your-code
Socket: https://socket.dev/blog/axios-npm-package-compromised

อ้างอิง
https://www.cisa.gov/news-events/alerts/2026/04/20/supply-chain-compromise-impacts-axios-node-package-manager
สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

เมื่อวันที่ 21 เมษายน 2026 Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ใหม่ 8 รายการลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) จากหลักฐานที่พบว่ามีการโจมตีใช้งานจริงแล้ว มีรายละเอียดดังนี้

• CVE-2023-27351 PaperCut NG/MF Improper Authentication Vulnerability
• CVE-2024-27199 JetBrains TeamCity Relative Path Traversal Vulnerability
• CVE-2025-2749 Kentico Xperience Path Traversal Vulnerability
• CVE-2025-32975 Quest KACE Systems Management Appliance (SMA) Improper Authentication Vulnerability
• CVE-2025-48700 Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting Vulnerability
• CVE-2026-20122 Cisco Catalyst SD-WAN Manager Incorrect Use of Privileged APIs Vulnerability
• CVE-2026-20128 Cisco Catalyst SD-WAN Manager Storing Passwords in a Recoverable Format Vulnerability
• CVE-2026-20133 Cisco Catalyst SD-WAN Manager Exposure of Sensitive Information to an Unauthorized Actor Vulnerability

ทาง CISA จะปรับปรุงและเพิ่มช่องโหว่ใหม่เข้าสู่แคตตาล็อก KEV อย่างต่อเนื่อง เพื่อให้ครอบคลุมความเสี่ยงที่ตรวจพบจริงในปัจจุบันและอนาคต

อ้างอิง
https://www.cisa.gov/news-events/alerts/2026/04/20/cisa-adds-eight-known-exploited-vulnerabilities-catalog
สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand