SOCRadar เผยแพร่บทสรุป Top 10 Supply Chain Attacks of 2025 เมื่อวันที่ 6 มกราคม 2026 เนื้อหานี้ไล่ดูเหตุการณ์ที่กระทบค้าปลีก ผู้จัดจำหน่าย SaaS แพลตฟอร์มโอเพนซอร์ส ผู้ให้บริการภาครัฐ และซอฟต์แวร์โครงสร้างพื้นฐาน เพื่อชี้ให้เห็นว่าการถูกโจมตีเพียงจุดเดียวสามารถส่งแรงสะเทือนต่อองค์กรจำนวนมากได้
บทความนี้ไม่ใช่เพียงรายงานเจาะลึกเหตุการณ์เดียว แต่เป็นรายงานรูปแบบความเสี่ยงที่เกิดซ้ำซ้อน โดยเชื่อมโยงเหตุการณ์อย่างการโจมตีค้าปลีกในสหราชอาณาจักร เหตุการณ์ของ Ingram Micro การเจาะผ่าน Salesforce, การขโมยโทเคน Salesloft-Drift, การโจมตีในระบบ npm, เหตุการณ์ของ Miljödata, การโจมตี Oracle E-Business Suite, การขโมยซอร์สโค้ดของ F5, แคมเปญ Shai-Hulud และเหตุการณ์ของ Gainsight
แก่นของเรื่องคือ ความไว้ใจ ผู้โจมตีไม่จำเป็นต้องบุกทุกเป้าหมายโดยตรง พวกเขาอาศัยการเชื่อมต่อที่เชื่อถือได้ แพลตฟอร์มร่วมกัน เส้นทางกระจายแพ็กเกจ และตัวตนดิจิทัล เพื่อเปลี่ยนการเจาะเพียงครั้งเดียวให้กลายเป็นผลกระทบวงกว้าง
สำหรับผู้นำด้านความปลอดภัยและการปฏิบัติงาน ปัญหานี้ไม่ได้เป็นแค่เรื่องไซเบอร์อีกต่อไป แต่เป็นเรื่องของความต่อเนื่องทางธุรกิจและเวิร์กโฟลว์ด้วย SOCRadar ชี้ว่าการโจมตีที่เชื่อมโยงกับคู่ค้ากำลังเพิ่มขึ้น และต้นทุนการรับมือมักสูงกว่าการแก้เหตุในระบบของตนเอง โดยเฉพาะเมื่อเกิด downtime กระทบการสั่งซื้อ โลจิสติกส์ ซัพพอร์ต หรือการจ่ายเงินเดือน
รูปแบบร่วมของเหตุการณ์เหล่านี้
เมื่อมองทั้งรายชื่อ จะเห็นรูปแบบเดิม ๆ ซ้ำกัน ได้แก่ การขโมยข้อมูลรับรอง การหลอกลวงทางสังคม การใช้ OAuth ในทางที่ผิด แพ็กเกจอันตราย และการยึดระบบของผู้ให้บริการ เหตุการณ์ในกลุ่ม Salesforce, Salesloft-Drift และ Gainsight สำคัญมาก เพราะแสดงให้เห็นว่าการเชื่อมต่อที่เชื่อถือได้สามารถกลายเป็นเส้นทางเข้าถึงระบบได้ โดยไม่ต้องมีการเจาะล็อกอินแบบเดิม
กรณี npm ก็สะท้อนปัญหาเดียวกันในสายการส่งมอบซอฟต์แวร์ เมื่อบัญชีผู้ดูแลหรือกระบวนการปล่อยแพ็กเกจถูกยึด เนื้อหาอันตรายจะไหลไปกับเวิร์กโฟลว์อัปเดตปกติและเข้าถึงหลายแอปได้รวดเร็ว ดังนั้นความถูกต้องของแพ็กเกจและการกำกับดูแลการปล่อยเวอร์ชันจึงเป็นการควบคุมหลัก ไม่ใช่สิ่งเสริม
- ผู้โจมตีมักใช้ตัวตนและสิทธิ์ที่เชื่อถือได้ มากกว่าการโจมตีเชิงเทคนิคแบบตรงไปตรงมา
- หลายองค์กรปลายทางรับรู้ปัญหาหลังจากกระทบการดำเนินงานแล้ว
- บริการร่วม แพ็กเกจร่วม หรือแพลตฟอร์มกระจายกลาง ทำให้ผลกระทบขยายวงได้มาก
สิ่งที่ทีมปฏิบัติการควรเปลี่ยน
บทเรียนเชิงปฏิบัติคือ การประเมินผู้ขายปีละครั้งไม่เพียงพออีกต่อไป องค์กรต้องมองเห็นการเชื่อมต่อ โทเคนการเข้าถึง ที่มาของแพ็กเกจ และระดับความเสี่ยงของผู้ให้บริการอย่างต่อเนื่อง เพราะพื้นที่เสี่ยงเปลี่ยนได้ตลอดระหว่างรอบการทบทวน
ทีมงานควรมีการแจ้งเตือนที่เชื่อมสัญญาณทางเทคนิคเข้ากับผลกระทบทางธุรกิจได้จริง หากคอนเนกเตอร์ SaaS ถูกยึด ทีมปฏิบัติการควรเห็นได้ทันทีว่าระบบใด ลูกค้ากลุ่มใด หรือเวิร์กโฟลว์ใดที่พึ่งพามันอยู่ และต้องดำเนินการอะไรเป็นลำดับแรก เช่น เพิกถอน แยกส่วน แพตช์ หรือสื่อสาร
นี่คือจุดที่แดชบอร์ดแบบรวมศูนย์และระบบอัตโนมัติมีคุณค่า เมื่อข้อมูลเหตุการณ์ไหลเข้าสู่ภาพรวมการปฏิบัติงานเดียว ทีมจะจัดลำดับความสำคัญของการแยกระบบ เพิกถอน แก้ไข หรือสื่อสารได้เร็วขึ้น แทนที่จะไล่ตามสเปรดชีต คิวทิกเก็ต และอีเมลแบบเฉพาะกิจ
ทำไมเรื่องนี้สำคัญกับสินค้าที่เชื่อมต่อกัน
สำหรับบริษัทที่สร้างอุปกรณ์เชื่อมต่อ ซอฟต์แวร์แพลตฟอร์ม หรือเครื่องมือบริการ บทความนี้ย้ำว่าความน่าเชื่อถือไม่ได้ขึ้นกับปลายทางอย่างเดียว แต่ขึ้นกับห่วงโซ่ทั้งหมด ตั้งแต่เฟิร์มแวร์อัปเดต API คลาวด์ เทเลเมทรี ไปจนถึงไลบรารีจากภายนอก ทุกส่วนควรถูกมองเป็นพื้นผิวของผลิตภัณฑ์
งานด้าน electronic prototyping, IoT systems, workflow automation, dashboard design และ integration ของ Paw Partners สอดคล้องกับความจริงข้อนี้ ระบบควรถูกออกแบบให้ทีมไล่รอย dependency ได้ เห็นข้อยกเว้นตั้งแต่ต้น และรักษาการปฏิบัติงานให้เดินต่อได้ แม้ผู้ให้บริการหรืออินทิเกรชันบางตัวจะมีปัญหา
บทเรียนสำคัญจากการรวบรวมของ SOCRadar คือ ความไว้ใจต้องถูกตรวจสอบอย่างต่อเนื่อง ทีมที่ผสานการมอนิเตอร์ การควบคุมการเชื่อมต่อ และระบบอัตโนมัติ จะลดทั้งความเสี่ยงด้านความปลอดภัยและผลกระทบต่อธุรกิจเมื่อผู้ขายรายใดรายหนึ่งถูกเจาะ
แหล่งที่มา: SOCRadar® Cyber Intelligence Inc., Top 10 Supply Chain Attacks of 2025