557/68 (IT) ประจำวันอังคารที่ 30 ธันวาคม 2568
Emurasoft ผู้พัฒนาโปรแกรมแก้ไขข้อความและโค้ด EmEditor ออกประกาศแจ้งเตือนความปลอดภัยหลังพบว่าถูกโจมตีแบบ (Supply Chain Attack) โดยผู้โจมตีแก้ไขลิงก์ที่ปุ่ม “Download Now” บนหน้าเว็บไซต์หลัก ส่งผลให้ผู้ใช้งานที่ดาวน์โหลดโปรแกรมในช่วงวันที่ 19 ธ.ค. 09:39 น. ถึง 22 ธ.ค. 03:50 น. ได้รับไฟล์ติดตั้งอันตราย (.msi) แทนไฟล์ปกติ ซึ่งตั้งชื่อและกำหนดขนาดใกล้เคียงกับไฟล์ติดตั้งจริง แต่ใช้ใบรับรองดิจิทัล (Digital Signature) จากผู้อื่นที่ไม่ใช่ของ Emurasoft
เมื่อติดตั้งไฟล์ปลอม ระบบจะรันคำสั่ง PowerShell เพื่อดาวน์โหลดมัลแวร์ Infostealer ขโมยข้อมูลสำคัญ ไม่ว่าจะเป็นไฟล์ในโฟลเดอร์ Desktop/Documents การตั้งค่า VPN ข้อมูลเบราว์เซอร์ และรหัสผ่านของแอปพลิเคชันต่าง ๆ เช่น Discord, Slack, Teams และ Steam โดยมัลแวร์ถูกออกแบบมาให้หยุดการทำงานหากตรวจพบว่าระบบใช้ภาษาของกลุ่มประเทศอดีตสหภาพโซเวียตหรืออิหร่าน
ผลกระทบยิ่งรุนแรงขึ้นเมื่อมัลแวร์ฝังตัวเพื่อคงอยู่ในระบบ (Persistence) ผ่านส่วนขยายเบราว์เซอร์ “Google Drive Caching” ทำหน้าที่เป็นสปายแวร์เต็มรูปแบบ คอยเก็บข้อมูลระบบ ประวัติการท่องเว็บ คุกกี้ บันทึกการพิมพ์ (Keylogging) และขโมยบัญชีโฆษณา Facebook อีกทั้งยังมีฟังก์ชันดัดแปลงข้อมูลในคลิปบอร์ด (Clipboard Hijacking) เพื่อเปลี่ยนที่อยู่กระเป๋าเงินคริปโทให้เป็นของผู้โจมตี ผู้ที่ดาวน์โหลดโปรแกรมในช่วงเวลาดังกล่าวควรเร่งดำเนินการตรวจสอบและลดความเสี่ยงทันที
แหล่งข่าว https://www.securityweek.com/infostealer-malware-delivered-in-emeditor-supply-chain-attack/
