สัปดาห์ส่งท้ายปี 2025 ช่องโหว่เพียบ...เสียวแวบทั้งวงการ

Published:

 

เรื่องเด่นประจำสัปดาห์ มหันตภัย "MongoBleed"

ใครใช้ MongoDB ต้องรีบเช็กด่วน ล่าสุดมีการค้นพบช่องโหว่รหัส CVE-2025-24847 หรือที่เขาเรียกกันว่า "MongoBleed" (คะแนนความรุนแรงพุ่งไปถึง 8.7) ซึ่งเปิดทางให้แฮกเกอร์แอบเจาะเข้ามาสูบข้อมูลสำคัญจากหน่วยควสามจำเซิร์ฟเวอร์ได้โดยไม่ต้องใส่รหัสผ่าน ตอนนี้พบว่ามีระบบที่เสี่ยงทั่วโลกกว่า 87,000 แห่ง ส่วนใหญ่อยู่ในสหรัฐฯ จีน และเยอรมนี ใครยังไม่อัปเดตเป็นเวอร์ชันล่าสุด ระวังข้อมูลรั่วแบบไม่รู้ตัว

สรุปข่าวฮอต ประเด็นร้อน

  • Trust Wallet โดนสอย 230 ล้านบาท: ผู้ใช้ Extension บน Google Chrome ร้องจ๊าก หลักแฮกเกอร์ใช้คีย์ลับปล่อยเวอร์ชันปลอม (2.68) เข้าไปเนียนในสโตร์ ดูดเงินไปกว่า 7 ล้านดอลลาร์ ทางค่ายสั่งให้รีบอัปเดตเป็นเวอร์ชัน 2.69 ด่วน และเตรียมคืนเงินให้ผู้เสียหาย
  • WhatsApp ปลอมบน npm: นักพัฒนาต้องระวัง มีแพ็กเกจชื่อ "lotusbail" แฝงตัวเป็น API ขอว WhatsApp แต่ใส้ในคือสปายแวร์ แอบอ่านข้อความและฝังตัวในบัญชีเรา แม้จะลบแพ็กเกจออกไปแล้ว แต่มันยัง "ผูก" บัญชีค้างไว้ ต้องไปกด Unlink เองในแอป
  • สายลับ Android "LANDFALL": พบการโจมตีเป้าหมายในตะวันออกกลาง โดยใช้ภาพ DNG ส่งผ่าน WhatsApp เพื่อเจาะระบบมือถือ Samsung โดยอาศัยช่องโหว่ในการประมวลผลภาพ AI ของเครื่อง แยบยลสุดๆ
  • พนักงาน Coinbase ในอินเดียโดนรวบ: ข้อหาแอบขายข้อมูลลูกค้าให้แก๊งต้มตุ๋นในราคาเรคคอร์ดละ 200 ดอลลาร์ (ประมาณ 7,000 บาท) งานนี้คนในทำพิษ ทำเอาลูกค้าเดือดร้อนไปเกือบ 7 หมื่นราย
รอบโลกไซเบอร์

  • AI สายมืด "DIG AI": พบเครื่องมือ AI ตัวใหม่บนเครือข่าย Tor ที่ช่วยสอนวิธีทำระเบิด หรือเขียนอีเมลหลอกลวง (Phishing) แบบแนบเนียน โดยไม่ต้องสมัครสมาชิก พัฒนามาจากพื้นฐาน ChatGPT แต่เอามาใช้ในทางที่ผิด
  • สปายแวร์ในโรงพัก: นักข่าวในเบลารุสโดนตำรวจแอบลงแอป "ResidentBat" ในมือถือระหว่างโดนสอบสวน เพื่อดักฟังเสียงและแคปหน้าจอ ใครไปต่างประเทศในพื้นที่เสี่ยง ต้องระวังรหัส PIN ให้ดีนะ
  • Docker แจกฟรี: ข่าวดีคือ Docker ปล่อย Hardened Images (อิมเมจที่เสริมความปลอดภัยเข้มงวด) ให้ใช้ฟรีแล้วกว่า 1,000 รายการ เพื่อช่วยนักพัฒนาให้รอดพ้นจากมัลแวร์ในสายการผลิตซอฟต์แวร์
เครื่องมือใหม่น่าลอง (แต่ต้องระวัง)

  1. GhidraGPT: ปลั๊กอินเสริม AI ช่วยถอดรหัสซอฟต์แวร์ให้อ่านง่ายขึ้น
  2. Chameleon: เครื่องมือล่อซื้อแฮกเกอร์ (Honeypot) เอาไว้ดักจับไอ้พวกที่ชอบแอบสแกนพอร์ตเครื่องเรา
ปี 2025 กำลังจะผ่านไป แต่ภัยไซเบอร์มีแต่จะซับซ้อนขึ้น "ความประมาทคือหนทางแห่งการโดนแฮก" อัปเดตซอฟท์แวร์บ่อยๆ และอย่ากดลิงก์แปลกๆนะครับ

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

Tags:

คุณอาจจะชอบ

ดูทั้งหมด
ใหม่กว่า เก่ากว่า
แชร์กับแอปอื่นๆ
คัดลอก ลิงค์ไปยังโพสต์