🔵 عنوان مقاله
GhostClaw steals crypto wallet data from devs (2 minute read)
🟢 خلاصه مقاله:
شرکتهای توسعهدهنده نرمافزارهای مبتنی بر بلاکچین و فناوریهای مالی در سراسر جهان باید همواره نسبت به امنیت پروژههای خود هوشیار باشند، زیرا تهدیدات سایبری هر روز پیچیدهتر و خطرناکتر میشوند. یکی از حملات اخیر که توجه بسیاری را جلب کرده، نفوذ یک برنامه مخرب با نام GhostClaw است که توانسته است دادههای کیف پولهای کریپتو بسیاری از توسعهدهندگان را سرقت کند. این تهدید از طریق بسته npm به نام @openclaw-ai/openclawai وارد بازار شد و در عرض یک هفته پس از انتشار، فعال بود تا زمانی که شناسایی و حذف شد.
در ابتدای فعالیت، این بسته احتمالا به عنوان یک ابزار قانونی و معتبر در بین توسعهدهندگان شناخته میشد و به همین دلیل، بسیاری از افراد آن را دانلود و نصب کردند. اما پس از مدتی، این برنامه به یک ابزار مخرب تبدیل شد و با تظاهر به یک ابزار رسمی OpenClaw CLI، کاربران را فریب داد. پس از نصب، GhostClaw یک پل ارتباطی به سرور کنترل و فرمان (C2) برقرار میکرد و مرحله دوم حمله را آغاز مینمود. این مرحله شامل اجرای یک اسکریپت جاوااسکریپت مخرب، به نام GhostLoader، بود که میتوانست اطلاعات حساس کاربران را جمعآوری کند.
این اسکریپت مخرب با ارزیابی مداوم کلیپبورد کاربر، کلیدهای خصوصی، عبارتهای بازیابی ونیز سایر اطلاعات حساس مانند پسوردهای کلیدهای سیستمعامل، کلیدهای SSH، اطلاعات احراز هویت در فضای ابری و توکنهای API سرویسهای هوش مصنوعی مانند OpenAI و Anthropic را سرقت مینمود. بنابراین، این نفوذ نه تنها میتوانست داراییهای مالی مهم توسعهدهندگان را به خطر بیندازد، بلکه دادههای حساس و ساختاری پروژههای آنها را نیز در معرض سرقت قرار میداد.
این رویداد نشان میدهد که چگونه مهاجمان با استفاده از تاکتیکهای فریبنده و مهندسی اجتماعی، میتوانند به راحتی به سیستمها و دادههای مهم نفوذ کنند. در نتیجه، توسعهدهندگان و تیمهای فنی باید در انتخاب و ارزیابی ابزارهای نرمافزاری بسیار دقت کنند، بهویژه هنگامی که این ابزارها در منابع غیرموثق بارگذاری شده یا مشکوک هستند. همچنین، بهروز نگه داشتن سیستمهای امنیتی و آموزش فعال تیمها در زمینه امنیت سایبری از اهمیت بالایی برخوردار است تا از وقوع حوادث مشابه جلوگیری شود.
در نتیجه، این حمله نشان میدهد که باید همواره نسبت به امنیت خود و دادههای حساسمان هوشیار باشیم و از منابع معتبر نرمافزاری استفاده کنیم تا نگرانیهای مربوط به به سرقت رفتن داراییهای دیجیتال کاهش یابد.
#امنیت_سایبری #حملات_ماسکه #کریپتو_حفاظت_شده #توسعه_امن
🟣لینک مقاله:
https://www.cryptopolitan.com/ghostclaw-steals-crypto-wallet-data-devs/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
GhostClaw steals crypto wallet data from devs (2 minute read)
🟢 خلاصه مقاله:
شرکتهای توسعهدهنده نرمافزارهای مبتنی بر بلاکچین و فناوریهای مالی در سراسر جهان باید همواره نسبت به امنیت پروژههای خود هوشیار باشند، زیرا تهدیدات سایبری هر روز پیچیدهتر و خطرناکتر میشوند. یکی از حملات اخیر که توجه بسیاری را جلب کرده، نفوذ یک برنامه مخرب با نام GhostClaw است که توانسته است دادههای کیف پولهای کریپتو بسیاری از توسعهدهندگان را سرقت کند. این تهدید از طریق بسته npm به نام @openclaw-ai/openclawai وارد بازار شد و در عرض یک هفته پس از انتشار، فعال بود تا زمانی که شناسایی و حذف شد.
در ابتدای فعالیت، این بسته احتمالا به عنوان یک ابزار قانونی و معتبر در بین توسعهدهندگان شناخته میشد و به همین دلیل، بسیاری از افراد آن را دانلود و نصب کردند. اما پس از مدتی، این برنامه به یک ابزار مخرب تبدیل شد و با تظاهر به یک ابزار رسمی OpenClaw CLI، کاربران را فریب داد. پس از نصب، GhostClaw یک پل ارتباطی به سرور کنترل و فرمان (C2) برقرار میکرد و مرحله دوم حمله را آغاز مینمود. این مرحله شامل اجرای یک اسکریپت جاوااسکریپت مخرب، به نام GhostLoader، بود که میتوانست اطلاعات حساس کاربران را جمعآوری کند.
این اسکریپت مخرب با ارزیابی مداوم کلیپبورد کاربر، کلیدهای خصوصی، عبارتهای بازیابی ونیز سایر اطلاعات حساس مانند پسوردهای کلیدهای سیستمعامل، کلیدهای SSH، اطلاعات احراز هویت در فضای ابری و توکنهای API سرویسهای هوش مصنوعی مانند OpenAI و Anthropic را سرقت مینمود. بنابراین، این نفوذ نه تنها میتوانست داراییهای مالی مهم توسعهدهندگان را به خطر بیندازد، بلکه دادههای حساس و ساختاری پروژههای آنها را نیز در معرض سرقت قرار میداد.
این رویداد نشان میدهد که چگونه مهاجمان با استفاده از تاکتیکهای فریبنده و مهندسی اجتماعی، میتوانند به راحتی به سیستمها و دادههای مهم نفوذ کنند. در نتیجه، توسعهدهندگان و تیمهای فنی باید در انتخاب و ارزیابی ابزارهای نرمافزاری بسیار دقت کنند، بهویژه هنگامی که این ابزارها در منابع غیرموثق بارگذاری شده یا مشکوک هستند. همچنین، بهروز نگه داشتن سیستمهای امنیتی و آموزش فعال تیمها در زمینه امنیت سایبری از اهمیت بالایی برخوردار است تا از وقوع حوادث مشابه جلوگیری شود.
در نتیجه، این حمله نشان میدهد که باید همواره نسبت به امنیت خود و دادههای حساسمان هوشیار باشیم و از منابع معتبر نرمافزاری استفاده کنیم تا نگرانیهای مربوط به به سرقت رفتن داراییهای دیجیتال کاهش یابد.
#امنیت_سایبری #حملات_ماسکه #کریپتو_حفاظت_شده #توسعه_امن
🟣لینک مقاله:
https://www.cryptopolitan.com/ghostclaw-steals-crypto-wallet-data-devs/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Cryptopolitan
GhostClaw steals crypto wallet data from devs
A new malware dubbed GhostClaw is targeting crypto wallets on macOS machines.
🔵 عنوان مقاله
OBLITERATUS (GitHub Repo)
🟢 خلاصه مقاله:
در دنیای هوش مصنوعی و یادگیری عمیق، مدلهای زبانی بزرگ (LLMs) از قدرت و انعطافپذیری بالایی برخوردارند، اما گاهی اوقات این مدلها رفتارهای ناخواسته یا رد کردن درخواستهای خاص را نشان میدهند که میتواند موضع امنیت و کارایی سیستمها را تحت تاثیر قرار دهد. در پاسخ به این نیاز، پروژه اوبلیتراتهروس (OBLITERATUS) در گیتهاب توسعه یافته است. این ابزار متنباز، با استفاده از رویکردهای مکانیکال تفسیر و تحلیل عمقی، به شکلی دقیق رفتارهای رد درخواستها را شناسایی و حذف میکند.
این مجموعه ابزار، با بهرهگیری از تجزیه و تحلیل بر پایه Singular Value Decomposition (SVD)، جهتهای رد درخواست را از وضعیتهای مخفی مدلهای ترنسفورمر پایه استخراج میکند. پس از تعیین این جهات، با پروجکشنهای ویژهای که حفظ نرمال و بدون نیاز به آموزش مجدد انجام میشود، رفتار رد درخواستها بهطور موثری حذف میشود. فرآیند این کار، بدون نیاز به آموزش مجدد یا تغییر در وزنهای اصلی مدل، امکانپذیر است و به همین دلیل بسیار کارآمد و انعطافپذیر است.
پروژه شامل ۱۵ مولفه تحلیلی است که هر یک جنبه خاصی از تحلیلها و فناوریهای مورد استفاده در این ابزار را پوشش میدهند. این مولفهها از جمله بررسی هندسه مخروط مفهومی، تشخیص اثرات دستکاری در تصویر حافظه، و تحلیل انطباقها در نمونههای متفاوت مدلها را شامل میشوند. بهعلاوه، این پکیج به کمک فناوریهای پیشرفته، تمایز میان مدلهایی مانند سیستمهای DPO، RLHF و CAI را از نظر فضای زیرمجموعهها و هندسه آنها نشان میدهد. هر کدام از این مولفهها، نقشی کلیدی در درک بهتر نحوه عملکرد و اصلاح رفتارهای مدلها دارند.
در پایان، اوبلیتراتهروس یک ابزار قدرتمند است که به توسعهدهندگان و محققان این حوزه، امکان میدهد تا به طور جامع و موثری رفتارهای ناخواسته و رد درخواستها را شناسایی و کنترل کنند، بدون اینکه نیاز به آموزش مجدد مدلها باشد. این رویکرد، گامی مهم در جهت ایمنتر و قابل کنترلتر کردن هوش مصنوعی است که آینده این فناوری را روشنتر میسازد.
#هوش_مصنوعی #مدلهای_زبان_بزرگ #تحلیل_مدل #امنیت_هوش
🟣لینک مقاله:
https://github.com/elder-plinius/OBLITERATUS?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
OBLITERATUS (GitHub Repo)
🟢 خلاصه مقاله:
در دنیای هوش مصنوعی و یادگیری عمیق، مدلهای زبانی بزرگ (LLMs) از قدرت و انعطافپذیری بالایی برخوردارند، اما گاهی اوقات این مدلها رفتارهای ناخواسته یا رد کردن درخواستهای خاص را نشان میدهند که میتواند موضع امنیت و کارایی سیستمها را تحت تاثیر قرار دهد. در پاسخ به این نیاز، پروژه اوبلیتراتهروس (OBLITERATUS) در گیتهاب توسعه یافته است. این ابزار متنباز، با استفاده از رویکردهای مکانیکال تفسیر و تحلیل عمقی، به شکلی دقیق رفتارهای رد درخواستها را شناسایی و حذف میکند.
این مجموعه ابزار، با بهرهگیری از تجزیه و تحلیل بر پایه Singular Value Decomposition (SVD)، جهتهای رد درخواست را از وضعیتهای مخفی مدلهای ترنسفورمر پایه استخراج میکند. پس از تعیین این جهات، با پروجکشنهای ویژهای که حفظ نرمال و بدون نیاز به آموزش مجدد انجام میشود، رفتار رد درخواستها بهطور موثری حذف میشود. فرآیند این کار، بدون نیاز به آموزش مجدد یا تغییر در وزنهای اصلی مدل، امکانپذیر است و به همین دلیل بسیار کارآمد و انعطافپذیر است.
پروژه شامل ۱۵ مولفه تحلیلی است که هر یک جنبه خاصی از تحلیلها و فناوریهای مورد استفاده در این ابزار را پوشش میدهند. این مولفهها از جمله بررسی هندسه مخروط مفهومی، تشخیص اثرات دستکاری در تصویر حافظه، و تحلیل انطباقها در نمونههای متفاوت مدلها را شامل میشوند. بهعلاوه، این پکیج به کمک فناوریهای پیشرفته، تمایز میان مدلهایی مانند سیستمهای DPO، RLHF و CAI را از نظر فضای زیرمجموعهها و هندسه آنها نشان میدهد. هر کدام از این مولفهها، نقشی کلیدی در درک بهتر نحوه عملکرد و اصلاح رفتارهای مدلها دارند.
در پایان، اوبلیتراتهروس یک ابزار قدرتمند است که به توسعهدهندگان و محققان این حوزه، امکان میدهد تا به طور جامع و موثری رفتارهای ناخواسته و رد درخواستها را شناسایی و کنترل کنند، بدون اینکه نیاز به آموزش مجدد مدلها باشد. این رویکرد، گامی مهم در جهت ایمنتر و قابل کنترلتر کردن هوش مصنوعی است که آینده این فناوری را روشنتر میسازد.
#هوش_مصنوعی #مدلهای_زبان_بزرگ #تحلیل_مدل #امنیت_هوش
🟣لینک مقاله:
https://github.com/elder-plinius/OBLITERATUS?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
GitHub
GitHub - elder-plinius/OBLITERATUS: OBLITERATE THE CHAINS THAT BIND YOU
OBLITERATE THE CHAINS THAT BIND YOU. Contribute to elder-plinius/OBLITERATUS development by creating an account on GitHub.
🔵 عنوان مقاله
Feds Disrupt IoT Botnets Behind Huge DDoS Attacks (2 minute read)
🟢 خلاصه مقاله:
در ماههای اخیر، وزارت دادگستری ایالات متحده با همکاری مقامات کانادایی و آلمانی، اقداماتی مهم در حوزه مقابله با هکرها و حملات سایبری انجام داد. این همکاری منجر به شناسایی و از بین بردن زیرساختهای چندین شبکه رباتهای اینترنت اشیاء (IoT) شد که به نامهای Aisuru، Kimwolf، JackSkid و Mossad شناخته شده بودند. این شبکههای مخرب توانسته بودند بیش از سه میلیون روتر و دوربین هوشمند را آلوده کرده و صدها هزار حمله DDoS بیسابقه و مخرب علیه سازمانها و زیرساختهای حساس انجام دهند؛ از جمله زیرساختهای وزارت دفاع آمریکا.
این گروههای مخرب در طی سالهای گذشته از این شبکههای نفوذپذیر برای اهداف مخرب و حملات گسترده بهرهبرداری میکردند. شبکه Aisuru در اواخر سال ۲۰۲۴ ظاهر شد و پس از آن، در اکتبر ۲۰۲۵، نسخهای جدید از Kimwolf با مکانیزم حرکتی جانبی نوآورانه معرفی شد. این مکانیزم موجب شده است که دستگاههای آلوده بتوانند به صورت پویاتر و مؤثرتری در شبکه نفوذ کرده و عملیات مخرب خود را گسترش دهند. این هوشمندی در طراحی، توانسته است دستگاههای بیشتری را آلوده کند و حملات را پیچیدهتر سازد.
این عملیات با هدف محدود کردن قابلیتهای این گروههای سایبری و جلوگیری از حملات آینده، نشان دهنده قدرت و اراده دولتها در مقابله با جرایم سایبری است. اقداماتی که بسیار مهم و مؤثر است و نشان میدهد همکاریهای بینالمللی در این حوزه چه قدر حیاتی و کارآمد هستند. با ادامه این روند، امیدواریم شاهد کاهش قابل توجهی در حملات اینترنتی و حفظ امنیت زیرساختهای حیاتی جهانی باشیم.
#امنیت_سایبری #حملات_دفاعی #فتوحات_پلیسی #حمایت_بینالمللی
🟣لینک مقاله:
https://krebsonsecurity.com/2026/03/feds-disrupt-iot-botnets-behind-huge-ddos-attacks/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Feds Disrupt IoT Botnets Behind Huge DDoS Attacks (2 minute read)
🟢 خلاصه مقاله:
در ماههای اخیر، وزارت دادگستری ایالات متحده با همکاری مقامات کانادایی و آلمانی، اقداماتی مهم در حوزه مقابله با هکرها و حملات سایبری انجام داد. این همکاری منجر به شناسایی و از بین بردن زیرساختهای چندین شبکه رباتهای اینترنت اشیاء (IoT) شد که به نامهای Aisuru، Kimwolf، JackSkid و Mossad شناخته شده بودند. این شبکههای مخرب توانسته بودند بیش از سه میلیون روتر و دوربین هوشمند را آلوده کرده و صدها هزار حمله DDoS بیسابقه و مخرب علیه سازمانها و زیرساختهای حساس انجام دهند؛ از جمله زیرساختهای وزارت دفاع آمریکا.
این گروههای مخرب در طی سالهای گذشته از این شبکههای نفوذپذیر برای اهداف مخرب و حملات گسترده بهرهبرداری میکردند. شبکه Aisuru در اواخر سال ۲۰۲۴ ظاهر شد و پس از آن، در اکتبر ۲۰۲۵، نسخهای جدید از Kimwolf با مکانیزم حرکتی جانبی نوآورانه معرفی شد. این مکانیزم موجب شده است که دستگاههای آلوده بتوانند به صورت پویاتر و مؤثرتری در شبکه نفوذ کرده و عملیات مخرب خود را گسترش دهند. این هوشمندی در طراحی، توانسته است دستگاههای بیشتری را آلوده کند و حملات را پیچیدهتر سازد.
این عملیات با هدف محدود کردن قابلیتهای این گروههای سایبری و جلوگیری از حملات آینده، نشان دهنده قدرت و اراده دولتها در مقابله با جرایم سایبری است. اقداماتی که بسیار مهم و مؤثر است و نشان میدهد همکاریهای بینالمللی در این حوزه چه قدر حیاتی و کارآمد هستند. با ادامه این روند، امیدواریم شاهد کاهش قابل توجهی در حملات اینترنتی و حفظ امنیت زیرساختهای حیاتی جهانی باشیم.
#امنیت_سایبری #حملات_دفاعی #فتوحات_پلیسی #حمایت_بینالمللی
🟣لینک مقاله:
https://krebsonsecurity.com/2026/03/feds-disrupt-iot-botnets-behind-huge-ddos-attacks/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Krebs on Security
Feds Disrupt IoT Botnets Behind Huge DDoS Attacks
The U.S. Justice Department joined authorities in Canada and Germany in dismantling the online infrastructure behind four highly disruptive botnets that compromised more than three million hacked Internet of Things (IoT) devices, such as routers and web cameras.…
🔵 عنوان مقاله
We Found Eight Attack Vectors Inside AWS Bedrock. Here's What Attackers Can Do with Them (5 minute read)
🟢 خلاصه مقاله:
در تحقیق اخیر تیم XM Cyber، هشت مسیر حمله تأیید شده در سرویس AWS Bedrock شناسایی شده است. این مسیرهای نفوذ بیشتر بر روی مجوزها و ادغامهای موجود تمرکز دارند و نشان میدهند که مهاجمان چه نوع اقداماتی میتوانند انجام دهند، بدون اینکه خود مدلهای هوش مصنوعی مورد هدف قرار بگیرند. اهمیت این یافتهها در این است که یک کاربر با سطح دسترسی بیشازحد میتواند امکانات مختلفی برای سوءاستفاده فراهم کند، مانند هدایت لاگهای فراخوانی به یک سطل S3 تحت کنترل مهاجم، سرقت اطلاعات اعتبارسنجی SaaS که در کانفیگهای پایگاه دانش ذخیره شده است، اصلاح عوامل (agents) از طریق فرمان bedrock:UpdateAgent، وارد کردن لایههای مخرب در Lambda، تغییر مسیر دادههای جریان، حذف کامل محدودیتها، یا فاسد کردن قالبهای درخواست مشترک در حین اجرا — همه این اقدامات بدون ایجاد اخطار یا سر و صدای خاص در سیستم قابل انجام است.
این کشفها نشان میدهد که امنیت در فضای ابری، بهویژه در سرویسهای پیشرفته مانند AWS Bedrock، نیازمند نظارت و کنترل بسیار دقیقی است. حملات از طریق مسیرهای ذکر شده میتوانند خسارات جدی به سیستمها وارد کنند، از سرقت دادههای حساس گرفته تا تغییر غیرمجاز در فرآیندهای پردازش. بنابراین، آگاهی از این مسیرهای نفوذ و پیروی از بهترین شیوههای امنیتی اهمیت بسزایی دارد تا بتوان از نشت اطلاعات و حملات سایبری جلوگیری کرد و امنیت دادهها و سرویسها را ارتقاء داد.
#امنیت_در_فضای_ابری #AWSBedrock #حملات_سایبری #امنیت_سفارش
🟣لینک مقاله:
https://thehackernews.com/2026/03/we-found-eight-attack-vectors-inside.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
We Found Eight Attack Vectors Inside AWS Bedrock. Here's What Attackers Can Do with Them (5 minute read)
🟢 خلاصه مقاله:
در تحقیق اخیر تیم XM Cyber، هشت مسیر حمله تأیید شده در سرویس AWS Bedrock شناسایی شده است. این مسیرهای نفوذ بیشتر بر روی مجوزها و ادغامهای موجود تمرکز دارند و نشان میدهند که مهاجمان چه نوع اقداماتی میتوانند انجام دهند، بدون اینکه خود مدلهای هوش مصنوعی مورد هدف قرار بگیرند. اهمیت این یافتهها در این است که یک کاربر با سطح دسترسی بیشازحد میتواند امکانات مختلفی برای سوءاستفاده فراهم کند، مانند هدایت لاگهای فراخوانی به یک سطل S3 تحت کنترل مهاجم، سرقت اطلاعات اعتبارسنجی SaaS که در کانفیگهای پایگاه دانش ذخیره شده است، اصلاح عوامل (agents) از طریق فرمان bedrock:UpdateAgent، وارد کردن لایههای مخرب در Lambda، تغییر مسیر دادههای جریان، حذف کامل محدودیتها، یا فاسد کردن قالبهای درخواست مشترک در حین اجرا — همه این اقدامات بدون ایجاد اخطار یا سر و صدای خاص در سیستم قابل انجام است.
این کشفها نشان میدهد که امنیت در فضای ابری، بهویژه در سرویسهای پیشرفته مانند AWS Bedrock، نیازمند نظارت و کنترل بسیار دقیقی است. حملات از طریق مسیرهای ذکر شده میتوانند خسارات جدی به سیستمها وارد کنند، از سرقت دادههای حساس گرفته تا تغییر غیرمجاز در فرآیندهای پردازش. بنابراین، آگاهی از این مسیرهای نفوذ و پیروی از بهترین شیوههای امنیتی اهمیت بسزایی دارد تا بتوان از نشت اطلاعات و حملات سایبری جلوگیری کرد و امنیت دادهها و سرویسها را ارتقاء داد.
#امنیت_در_فضای_ابری #AWSBedrock #حملات_سایبری #امنیت_سفارش
🟣لینک مقاله:
https://thehackernews.com/2026/03/we-found-eight-attack-vectors-inside.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
Scanner (Product Launch)
🟢 خلاصه مقاله:
شرکت Scanner امکان ساخت یک ابرایمنی دادهها را برای تیمهای امنیتی فراهم کرده است. این پلتفرم به کاربر اجازه میدهد در حالی که با ابزارهای موجود ترکیب میشود، یک دریاچه دادههای امنیتی ابری ایجاد کند. هدف اصلی این محصول، بهبود عملیاتهای امنیتی مانند جستوجوی تهدیدات، شناسایی پیوسته و فرآیندهای مبتنی بر هوش مصنوعی است که با سرعت و کارایی بالا انجام میشود.
اسکنر از فناوریهای نوین مانند شاخصهای معکوس بهره میبرد که هم قادر است حجم بالای دادهها را سریع جستوجو دهد و هم هنگام عدم فعالیت، منابع خود را کاهش دهد. این رویکرد به تیمهای امنیتی کمک میکند تا به صورت بیوقفه و به شکل بهینه تهدیدات را مانیتور و مدیریت کنند، بدون اینکه نگران کاهش سرعت یا مصرف بیرویه منابع باشند. در نتیجه، این راهکار یک ابزار قدرتمند و مقیاسپذیر برای حفاظت از زیرساختهای فناوری اطلاعات سازمانها است.
نهایتاً، Scanner با تمرکز بر معماری مبتنی بر ابر و بهرهگیری از فناوریهای جدید در حوزه دادهها، امکانات گستردهای برای تیمهای امنیتی فراهم میآورد تا در محیطی پویا و امن بتوانند بهتر و هوشمندانهتر از داراییهای دیجیتال خود محافظت کنند.
#امنیت_اطلاعات #پایگاه_داده #هوش_مصنوعی #ابزارهای_امنیتی
🟣لینک مقاله:
https://scanner.dev/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Scanner (Product Launch)
🟢 خلاصه مقاله:
شرکت Scanner امکان ساخت یک ابرایمنی دادهها را برای تیمهای امنیتی فراهم کرده است. این پلتفرم به کاربر اجازه میدهد در حالی که با ابزارهای موجود ترکیب میشود، یک دریاچه دادههای امنیتی ابری ایجاد کند. هدف اصلی این محصول، بهبود عملیاتهای امنیتی مانند جستوجوی تهدیدات، شناسایی پیوسته و فرآیندهای مبتنی بر هوش مصنوعی است که با سرعت و کارایی بالا انجام میشود.
اسکنر از فناوریهای نوین مانند شاخصهای معکوس بهره میبرد که هم قادر است حجم بالای دادهها را سریع جستوجو دهد و هم هنگام عدم فعالیت، منابع خود را کاهش دهد. این رویکرد به تیمهای امنیتی کمک میکند تا به صورت بیوقفه و به شکل بهینه تهدیدات را مانیتور و مدیریت کنند، بدون اینکه نگران کاهش سرعت یا مصرف بیرویه منابع باشند. در نتیجه، این راهکار یک ابزار قدرتمند و مقیاسپذیر برای حفاظت از زیرساختهای فناوری اطلاعات سازمانها است.
نهایتاً، Scanner با تمرکز بر معماری مبتنی بر ابر و بهرهگیری از فناوریهای جدید در حوزه دادهها، امکانات گستردهای برای تیمهای امنیتی فراهم میآورد تا در محیطی پویا و امن بتوانند بهتر و هوشمندانهتر از داراییهای دیجیتال خود محافظت کنند.
#امنیت_اطلاعات #پایگاه_داده #هوش_مصنوعی #ابزارهای_امنیتی
🟣لینک مقاله:
https://scanner.dev/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
scanner.dev
Scanner | Home
The security data lake platform built for AI agents and modern security teams. Search and detect across petabytes in seconds. Retain everything forever. Power the next generation of detection & response.
🔵 عنوان مقاله
Delve did the security compliance on LiteLLM, an AI project hit by malware (3 minute read)
🟢 خلاصه مقاله:
شرکت Delve، متخصص در زمینه تضمین امنیت و تطابق با استانداردهای جهانی، اخیراً موفق شد امنیت پروژه هوش مصنوعی LiteLLM را بررسی و تأیید کند. LiteLLM در روزانه حدود ۳.۴ میلیون بار دانلود میشود و در مسیر توسعهاش با یک تهدید جدی روبرو شد: تروجان مخرب که از طریق یک وابستگی مختل وارد سامانه شد و به سرعت در بستههای نرمافزاری وابسته و حسابهای کاربران پخش شد. این بدافزار به قصد جمعآوری اطلاعات وارد عمل شده بود، اما خوشبختانه، تیم امنیتی در کمتر از چند ساعت توانست آن را شناسایی و کنترل کند. یک محقق شرکت FutureSearch که در حال آزمایش این بدافزار بود، در اثر یک باگ در خود بدافزار، رایانهاش دچار مشکل شد، اما اقدامات سریع امنیتی مانع از خسارات بیشتر شدند.
پروژه LiteLLM توسط شرکت Delve، که در زمینه ارائه خدمات تطابق و امنیت اطلاعات فعالیت میکند، گواهینامههای معتبر SOC 2 و ISO 27001 را دریافت کرده است. این شرکت با سابقهدرخشش در تضمین امنیت دادهها، متأسفانه به خاطر برخی انتقادات مبنی بر جعل دادههای حسابرسی و صدور گزارشهای نادرست نیز سر و صدا کرده است. در اینباره، مانیانت، یکی از شرکتهای معتبر در حوزه تهدیدات سایبری، برای بررسی بیشتر وارد عمل شده است.
این مورد نشان میدهد که حتی پروژههای معتبر و تحت نظارت دقیق هم میتوانند هدف هکرها قرار گیرند، اما با رویکردهای دقیق امنیتی و همکاریهای بینالمللی میتوان از بروز بحرانهای بزرگ جلوگیری کرد و اعتماد کاربران را حفظ نمود. در نهایت، تلاش تیمهای امنیتی و نظارتی، نقش حیاتی در حفاظت از دادهها و جلوگیری از نفوذهای مخرب ایفا میکند.
#امنیت_دیجیتال #حفاظت_اطلاعات #هوش_مصنوعی #تضمین_امنیت
🟣لینک مقاله:
https://techcrunch.com/2026/03/25/delve-did-the-security-compliance-on-litellm-an-ai-project-hit-by-malware/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Delve did the security compliance on LiteLLM, an AI project hit by malware (3 minute read)
🟢 خلاصه مقاله:
شرکت Delve، متخصص در زمینه تضمین امنیت و تطابق با استانداردهای جهانی، اخیراً موفق شد امنیت پروژه هوش مصنوعی LiteLLM را بررسی و تأیید کند. LiteLLM در روزانه حدود ۳.۴ میلیون بار دانلود میشود و در مسیر توسعهاش با یک تهدید جدی روبرو شد: تروجان مخرب که از طریق یک وابستگی مختل وارد سامانه شد و به سرعت در بستههای نرمافزاری وابسته و حسابهای کاربران پخش شد. این بدافزار به قصد جمعآوری اطلاعات وارد عمل شده بود، اما خوشبختانه، تیم امنیتی در کمتر از چند ساعت توانست آن را شناسایی و کنترل کند. یک محقق شرکت FutureSearch که در حال آزمایش این بدافزار بود، در اثر یک باگ در خود بدافزار، رایانهاش دچار مشکل شد، اما اقدامات سریع امنیتی مانع از خسارات بیشتر شدند.
پروژه LiteLLM توسط شرکت Delve، که در زمینه ارائه خدمات تطابق و امنیت اطلاعات فعالیت میکند، گواهینامههای معتبر SOC 2 و ISO 27001 را دریافت کرده است. این شرکت با سابقهدرخشش در تضمین امنیت دادهها، متأسفانه به خاطر برخی انتقادات مبنی بر جعل دادههای حسابرسی و صدور گزارشهای نادرست نیز سر و صدا کرده است. در اینباره، مانیانت، یکی از شرکتهای معتبر در حوزه تهدیدات سایبری، برای بررسی بیشتر وارد عمل شده است.
این مورد نشان میدهد که حتی پروژههای معتبر و تحت نظارت دقیق هم میتوانند هدف هکرها قرار گیرند، اما با رویکردهای دقیق امنیتی و همکاریهای بینالمللی میتوان از بروز بحرانهای بزرگ جلوگیری کرد و اعتماد کاربران را حفظ نمود. در نهایت، تلاش تیمهای امنیتی و نظارتی، نقش حیاتی در حفاظت از دادهها و جلوگیری از نفوذهای مخرب ایفا میکند.
#امنیت_دیجیتال #حفاظت_اطلاعات #هوش_مصنوعی #تضمین_امنیت
🟣لینک مقاله:
https://techcrunch.com/2026/03/25/delve-did-the-security-compliance-on-litellm-an-ai-project-hit-by-malware/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
TechCrunch
Silicon Valley's two biggest dramas have intersected: LiteLLM and Delve | TechCrunch
LiteLLM offers an AI open source project used by millions that was infected by credential harvesting malware.
🔵 عنوان مقاله
The Autonomous Testing Tipping Point (Part 1)
🟢 خلاصه مقاله:
در دنیای توسعه نرمافزار، آزمایشهای خودکار بهعنوان یک تحول اساسی شناخته میشوند که هدف اصلی آنها حذف موانع و مشکلاتی است که ممکن است عملکرد بهتر تیمهای توسعه را مختل کند. این فرآیند نهتنها بهمنظور جایگزینی انسانها طراحی نشده است، بلکه در اصل به دنبال بهبود و تسهیل وظایف آنها است تا بتوانند با تمرکز بیشتر و کارایی بالا، نتایج بهتری کسب کنند. آزمایشهای خودکار در واقع ابزارهایی هستند برای کاهش زمانها و خطاهای انسانی، اما مهمترین هدف آنها رفع موانع غیرضروری است که مانع اجرای کارهای دقیق و سریع میشوند.
در نتیجه، چشمانداز آزمایشهای خودکار در تکنولوژیهای نوین، بر حذف اصطکاک در مسیر توسعه تمرکز دارد. این اصطکاک ممکن است شامل فرآیندهای پیچیده، خطاهای انسانی یا نیاز به تکرارهای ملالآور باشد که هدررفت زمان و انرژی را به همراه دارد. زمانی که این موانع برداشته شوند، تیمهای توسعه میتوانند تمرکز خود را بر روی کارهای خلاقانهتر و نوآورانهتر قرار دهند و سرعت تحویل پروژهها را افزایش دهند. بنابراین، هدف اصلی از بهکارگیری فناوریهای خودکار در آزمایشهای نرمافزاری، تسهیل و پشتیبانی بهتر از فعالیتهای انسانی و تبدیل فرآیندهای دشوار به مسیرهای ساده و مستقیم است.
در پایان، با توجه به روند رو به رشد فناوریهای خودکار، مرحله مهمی در توسعه نرمافزار در پیش است که میتواند انقلابی در نحوه انجام آزمایشها و بهبود کیفیت محصولات دیجیتال ایجاد کند. این تحول، نه تنها موجب صرفهجویی در زمان و منابع میشود بلکه امکان تمرکز بر توسعه ویژگیهای ارزشمند و نوآورانه را برای تیمها فراهم میآورد، و در نتیجه، تجربهای ممتاز برای کاربران نهایی رقم خواهد زد.
#آزمون_خودکار #تحول_توسعه #کیفیت_برتر #فناوری
🟣لینک مقاله:
https://cur.at/mGgvFbE?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
The Autonomous Testing Tipping Point (Part 1)
🟢 خلاصه مقاله:
در دنیای توسعه نرمافزار، آزمایشهای خودکار بهعنوان یک تحول اساسی شناخته میشوند که هدف اصلی آنها حذف موانع و مشکلاتی است که ممکن است عملکرد بهتر تیمهای توسعه را مختل کند. این فرآیند نهتنها بهمنظور جایگزینی انسانها طراحی نشده است، بلکه در اصل به دنبال بهبود و تسهیل وظایف آنها است تا بتوانند با تمرکز بیشتر و کارایی بالا، نتایج بهتری کسب کنند. آزمایشهای خودکار در واقع ابزارهایی هستند برای کاهش زمانها و خطاهای انسانی، اما مهمترین هدف آنها رفع موانع غیرضروری است که مانع اجرای کارهای دقیق و سریع میشوند.
در نتیجه، چشمانداز آزمایشهای خودکار در تکنولوژیهای نوین، بر حذف اصطکاک در مسیر توسعه تمرکز دارد. این اصطکاک ممکن است شامل فرآیندهای پیچیده، خطاهای انسانی یا نیاز به تکرارهای ملالآور باشد که هدررفت زمان و انرژی را به همراه دارد. زمانی که این موانع برداشته شوند، تیمهای توسعه میتوانند تمرکز خود را بر روی کارهای خلاقانهتر و نوآورانهتر قرار دهند و سرعت تحویل پروژهها را افزایش دهند. بنابراین، هدف اصلی از بهکارگیری فناوریهای خودکار در آزمایشهای نرمافزاری، تسهیل و پشتیبانی بهتر از فعالیتهای انسانی و تبدیل فرآیندهای دشوار به مسیرهای ساده و مستقیم است.
در پایان، با توجه به روند رو به رشد فناوریهای خودکار، مرحله مهمی در توسعه نرمافزار در پیش است که میتواند انقلابی در نحوه انجام آزمایشها و بهبود کیفیت محصولات دیجیتال ایجاد کند. این تحول، نه تنها موجب صرفهجویی در زمان و منابع میشود بلکه امکان تمرکز بر توسعه ویژگیهای ارزشمند و نوآورانه را برای تیمها فراهم میآورد، و در نتیجه، تجربهای ممتاز برای کاربران نهایی رقم خواهد زد.
#آزمون_خودکار #تحول_توسعه #کیفیت_برتر #فناوری
🟣لینک مقاله:
https://cur.at/mGgvFbE?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Dan Ashby
The Autonomous Testing Tipping Point (Part 1)
I am increasingly getting the deep impression that software delivery teams are standing at a crossroads within the industry. On one side we have systems that are growing more complex, more distribu…
🔵 عنوان مقاله
Writing tests with Claude Code — Part 1: Initial results
🟢 خلاصه مقاله:
در روزهای اخیر، ابزار Claude Code توجه بسیاری را به خود جلب کرده است. این فناوری جدید، ادعا میکند که میتواند در نوشتن تستهای نرمافزاری کمک شایانی کند و فرآیند آزمایش کد را سریعتر و موثرتر سازد. اما سوال این است که آیا واقعاً این ابزار کارایی مورد انتظار را دارد یا خیر؟ برای بررسی این موضوع، باس دیکسترا از آن برای تولید تستهای API استفاده کرد و نتایج حاصله را با استفاده از تستهای اصلاحشده یا "موتنتد" ارزیابی کرد. این روش به او امکان داد تا صحت و دقت تستهایی که توسط Claude Code تولید شده بودند را بسنجید و در نهایت اعتبار آن را در زمینههای عملی بررسی کند.
کلوده کد، به عنوان یک ابزار نوآورانه، در حال حاضر توجه علاقهمندان به هوش مصنوعی و توسعهدهندگان نرمافزار را به سمت خود جلب کرده است. تمرکز بر تولید خودکار تستها، میتواند تحولی در فرآیند توسعه نرمافزار ایجاد کند، اما باید دید که این سیستم چقدر در آزمایشهای واقعی مفید است و میتواند جایگزین روشهای سنتی شود یا خیر. باس دیکسترا با ارزیابی اولیه خود، قدمی مثبت در این زمینه برداشته و نتایج نشان میدهد که این ابزار در موارد خاص میتواند به عنوان یک همراه موثر در فرآیند تست نرمافزار عمل کند، البته با نیاز به بررسیهای بیشتر و جامعتر.
در مجموع، اگرچه هنوز نیاز به تحقیقات و آزمایشهای بیشتر وجود دارد، اما نتایج اولیه حاکی از پتانسیل بالای Claude Code در آیندهای نزدیک است. این ابزار میتواند ابزار کمکی قدرتمندی برای توسعهدهندگان باشد، مخصوصاً در حوزههایی که زمان و دقت در تولید تستهای نرمافزاری اهمیت زیادی دارد. انتظار میرود با پیشرفتهای آینده، تواناییهای این فناوری نوظهور بیشتر شود و در صنعت نرمافزار کاربردیتر گردد.
#تست_نرمافزار #هوشمصنوعی #ClaudeCode #توسعهدهندگان
🟣لینک مقاله:
https://cur.at/PWBKw59?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Writing tests with Claude Code — Part 1: Initial results
🟢 خلاصه مقاله:
در روزهای اخیر، ابزار Claude Code توجه بسیاری را به خود جلب کرده است. این فناوری جدید، ادعا میکند که میتواند در نوشتن تستهای نرمافزاری کمک شایانی کند و فرآیند آزمایش کد را سریعتر و موثرتر سازد. اما سوال این است که آیا واقعاً این ابزار کارایی مورد انتظار را دارد یا خیر؟ برای بررسی این موضوع، باس دیکسترا از آن برای تولید تستهای API استفاده کرد و نتایج حاصله را با استفاده از تستهای اصلاحشده یا "موتنتد" ارزیابی کرد. این روش به او امکان داد تا صحت و دقت تستهایی که توسط Claude Code تولید شده بودند را بسنجید و در نهایت اعتبار آن را در زمینههای عملی بررسی کند.
کلوده کد، به عنوان یک ابزار نوآورانه، در حال حاضر توجه علاقهمندان به هوش مصنوعی و توسعهدهندگان نرمافزار را به سمت خود جلب کرده است. تمرکز بر تولید خودکار تستها، میتواند تحولی در فرآیند توسعه نرمافزار ایجاد کند، اما باید دید که این سیستم چقدر در آزمایشهای واقعی مفید است و میتواند جایگزین روشهای سنتی شود یا خیر. باس دیکسترا با ارزیابی اولیه خود، قدمی مثبت در این زمینه برداشته و نتایج نشان میدهد که این ابزار در موارد خاص میتواند به عنوان یک همراه موثر در فرآیند تست نرمافزار عمل کند، البته با نیاز به بررسیهای بیشتر و جامعتر.
در مجموع، اگرچه هنوز نیاز به تحقیقات و آزمایشهای بیشتر وجود دارد، اما نتایج اولیه حاکی از پتانسیل بالای Claude Code در آیندهای نزدیک است. این ابزار میتواند ابزار کمکی قدرتمندی برای توسعهدهندگان باشد، مخصوصاً در حوزههایی که زمان و دقت در تولید تستهای نرمافزاری اهمیت زیادی دارد. انتظار میرود با پیشرفتهای آینده، تواناییهای این فناوری نوظهور بیشتر شود و در صنعت نرمافزار کاربردیتر گردد.
#تست_نرمافزار #هوشمصنوعی #ClaudeCode #توسعهدهندگان
🟣لینک مقاله:
https://cur.at/PWBKw59?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
On Test Automation
Writing tests with Claude Code - part 1 - initial results
In a recent post, I wrote about how I used Claude Code to analyze the code for RestAssured.Net and then perform a refactoring action, using handwritten tests as the safety net. In that post, I wrote that I didn’t want Claude to touch the tests themselves…
🔵 عنوان مقاله
Police Shut Down 373,000 Dark Web Sites in Single-Operator CSAM Network (2 minute read)
🟢 خلاصه مقاله:
در عملیات آلیس، که با حمایت یوروپول از ۹ تا ۱۹ مارس و در قالب فعالیتی گسترده در ۲۳ کشور انجام شد، پلیس توانست بیش از ۳۷۳ هزار وبسایت تاریک و دارکوب با دامنههای آنوشن را در یک شبکه مخرب وابسته به یک فرد مدیریت کند. این عملیات منجر به توقیف ۱۰۵ سرور و شناسایی ۴۴۰ مشتری مرتبط با یک شبکه جرمساز اختصاصی در حوزه محتواهای کودک آزاری و خدمات مرتبط شد. فعالیت این شبکه در مدت زمان کوتاه به بیش از ۳۴۵ هزار یورو سود در قالب رمزارز دست یافته بود، که نشان دهنده عمق و قدرت فعالیتهای مجرمانه و نقش سازمانهای امنیتی در مقابله با آن است.
این عملیات نشانگر تلاشهای متمرکز و گسترده چندین کشور برای مقابله با جرایم مرتبط با اینترنت تاریک و تخریب شبکههای قاچاق و سوءاستفاده است. استفاده از فناوریهای پیشرفته و همکاریهای بینالمللی نقش کلیدی در شناسایی و منهدم کردن این شبکههای مخرب ایفا کرده است، و بیانگر تعهد قوی جامعه جهانی در حفاظت از حقوق انسانی و جلوگیری از ارتکاب جرایم سایبری است.
#امنیت_شبکه #جرایم_دیجیتال #یوروپول #کاهش_جرایم
🟣لینک مقاله:
https://hackread.com/police-shut-down-dark-web-sites-csam-network/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Police Shut Down 373,000 Dark Web Sites in Single-Operator CSAM Network (2 minute read)
🟢 خلاصه مقاله:
در عملیات آلیس، که با حمایت یوروپول از ۹ تا ۱۹ مارس و در قالب فعالیتی گسترده در ۲۳ کشور انجام شد، پلیس توانست بیش از ۳۷۳ هزار وبسایت تاریک و دارکوب با دامنههای آنوشن را در یک شبکه مخرب وابسته به یک فرد مدیریت کند. این عملیات منجر به توقیف ۱۰۵ سرور و شناسایی ۴۴۰ مشتری مرتبط با یک شبکه جرمساز اختصاصی در حوزه محتواهای کودک آزاری و خدمات مرتبط شد. فعالیت این شبکه در مدت زمان کوتاه به بیش از ۳۴۵ هزار یورو سود در قالب رمزارز دست یافته بود، که نشان دهنده عمق و قدرت فعالیتهای مجرمانه و نقش سازمانهای امنیتی در مقابله با آن است.
این عملیات نشانگر تلاشهای متمرکز و گسترده چندین کشور برای مقابله با جرایم مرتبط با اینترنت تاریک و تخریب شبکههای قاچاق و سوءاستفاده است. استفاده از فناوریهای پیشرفته و همکاریهای بینالمللی نقش کلیدی در شناسایی و منهدم کردن این شبکههای مخرب ایفا کرده است، و بیانگر تعهد قوی جامعه جهانی در حفاظت از حقوق انسانی و جلوگیری از ارتکاب جرایم سایبری است.
#امنیت_شبکه #جرایم_دیجیتال #یوروپول #کاهش_جرایم
🟣لینک مقاله:
https://hackread.com/police-shut-down-dark-web-sites-csam-network/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Hackread
Police Shut Down 373,000 Dark Web Sites in Single-Operator CSAM Network
Police shut down 373K dark web sites in a one-man CSAM and cybercrime network run by a 35-year-old man in China, with global probe ongoing.
🔵 عنوان مقاله
Why would I even want to generate test cases with AI?
🟢 خلاصه مقاله:
با پیشرفتهای فناوری هوش مصنوعی، سوالی که بسیاری در ذهن دارند این است که چرا باید از هوش مصنوعی برای تولید موارد آزمایشی استفاده کنیم؟ در مقالهای جالب، ماارت پیاژاری، توضیح میدهد که هدف از آزمونهای مبتنی بر هوش مصنوعی باید تمرکز بر توسعه و گسترش فرآیندهای یادگیری و بهبود نتایج باشد، نه صرفاً دنبال کردن گامهای از پیش تعیینشده. این رویکرد نوآورانه به ما اجازه میدهد تا آزمونها را به صورت هوشمندانهتر، انعطافپذیر و موثر طراحی کنیم، و در نتیجه کیفیت نرمافزارها و سیستمها را به شکل قابل توجهی ارتقا دهیم. استفاده از هوش مصنوعی در این حوزه نه تنها فرآیند تست را سریعتر و هوشمندانهتر میکند، بلکه میتواند فرصتهای جدیدی برای کشف پذیرفته نشدهها و ضعفهای سیستم فراهم آورد، که در حالت عادی ممکن است دیده نشوند. بنابراین، تمرکز بر توسعه و یادگیری در فرآیند تست به عنوان یکی از اهداف اصلی، آیندهای نوین و پربار در صنعت نرمافزارسازی را رقم خواهد زد.
#هوشمصنوعی #تست_نرمافزار #کدنویسی #کیفیت_سیستم
🟣لینک مقاله:
https://cur.at/v6Eckx6?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Why would I even want to generate test cases with AI?
🟢 خلاصه مقاله:
با پیشرفتهای فناوری هوش مصنوعی، سوالی که بسیاری در ذهن دارند این است که چرا باید از هوش مصنوعی برای تولید موارد آزمایشی استفاده کنیم؟ در مقالهای جالب، ماارت پیاژاری، توضیح میدهد که هدف از آزمونهای مبتنی بر هوش مصنوعی باید تمرکز بر توسعه و گسترش فرآیندهای یادگیری و بهبود نتایج باشد، نه صرفاً دنبال کردن گامهای از پیش تعیینشده. این رویکرد نوآورانه به ما اجازه میدهد تا آزمونها را به صورت هوشمندانهتر، انعطافپذیر و موثر طراحی کنیم، و در نتیجه کیفیت نرمافزارها و سیستمها را به شکل قابل توجهی ارتقا دهیم. استفاده از هوش مصنوعی در این حوزه نه تنها فرآیند تست را سریعتر و هوشمندانهتر میکند، بلکه میتواند فرصتهای جدیدی برای کشف پذیرفته نشدهها و ضعفهای سیستم فراهم آورد، که در حالت عادی ممکن است دیده نشوند. بنابراین، تمرکز بر توسعه و یادگیری در فرآیند تست به عنوان یکی از اهداف اصلی، آیندهای نوین و پربار در صنعت نرمافزارسازی را رقم خواهد زد.
#هوشمصنوعی #تست_نرمافزار #کدنویسی #کیفیت_سیستم
🟣لینک مقاله:
https://cur.at/v6Eckx6?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Blogspot
Why would I even want to generate test cases with AI?
Ideas and experiences on software testing, software development, conference speaking and organizing.
🔵 عنوان مقاله
Lynqa: Execute your tests with AI
🟢 خلاصه مقاله:
در دنیای توسعه نرمافزار، تستهای دستی نقش مهمی در تضمین کیفیت محصول دارند. نرمافزار Lynqa با بهرهگیری از هوش مصنوعی، فرآیند اجرای این تستها را به صورت کاملاً خودکار و دقیق انجام میدهد. این ابزار، تمامی موارد تستی وارد شده در سیستم Xray را به همان صورت اجرا میکند و نتیجههای هر مرحله را به صورت خودکار و قابل پیگیری به سیستم بازمیگرداند. این فرآیند نه تنها باعث کاهش خطاهای انسانی میشود، بلکه در شناسایی سریع تر اختلالات و رفع عیبها نقش مؤثری دارد.
افزون بر این، Lynqa در مواجهه با افزایش بار تستهای رگرسیون بسیار مؤثر است. با automatisation فرآیند، زمان لازم برای اجرای آزمایشها به میزان قابل توجهی کاهش مییابد و هزینههای مرتبط با اجرای دستی را پایین میآورد. این ابزار به تیمهای تضمین کیفیت اجازه میدهد بر تستهای مهمتر و ارزشمندتر تمرکز کنند، در نتیجه کیفیت نهایی محصول ارتقا مییابد و چرخه توسعه سریعتر میشود.
برای آشنایی اولیه، میتوانید با استفاده از ۱۰ اعتبار رایگان این ابزار توانمند را آزمایش کنید و از امکانات آن بهرهمند شوید. Lynqa با تلفیق هوش مصنوعی و اتوماسیون، فرآیند تست را سادهتر و موثرتر کرده و استانداردهای کیفی پروژههای نرمافزاری شما را ارتقاء میدهد.
#تست_نرم_افزار #هوش_مصنوعی #اتوماسیون #کیفیت_محتوا
🟣لینک مقاله:
https://cur.at/7hqw4cZ?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Lynqa: Execute your tests with AI
🟢 خلاصه مقاله:
در دنیای توسعه نرمافزار، تستهای دستی نقش مهمی در تضمین کیفیت محصول دارند. نرمافزار Lynqa با بهرهگیری از هوش مصنوعی، فرآیند اجرای این تستها را به صورت کاملاً خودکار و دقیق انجام میدهد. این ابزار، تمامی موارد تستی وارد شده در سیستم Xray را به همان صورت اجرا میکند و نتیجههای هر مرحله را به صورت خودکار و قابل پیگیری به سیستم بازمیگرداند. این فرآیند نه تنها باعث کاهش خطاهای انسانی میشود، بلکه در شناسایی سریع تر اختلالات و رفع عیبها نقش مؤثری دارد.
افزون بر این، Lynqa در مواجهه با افزایش بار تستهای رگرسیون بسیار مؤثر است. با automatisation فرآیند، زمان لازم برای اجرای آزمایشها به میزان قابل توجهی کاهش مییابد و هزینههای مرتبط با اجرای دستی را پایین میآورد. این ابزار به تیمهای تضمین کیفیت اجازه میدهد بر تستهای مهمتر و ارزشمندتر تمرکز کنند، در نتیجه کیفیت نهایی محصول ارتقا مییابد و چرخه توسعه سریعتر میشود.
برای آشنایی اولیه، میتوانید با استفاده از ۱۰ اعتبار رایگان این ابزار توانمند را آزمایش کنید و از امکانات آن بهرهمند شوید. Lynqa با تلفیق هوش مصنوعی و اتوماسیون، فرآیند تست را سادهتر و موثرتر کرده و استانداردهای کیفی پروژههای نرمافزاری شما را ارتقاء میدهد.
#تست_نرم_افزار #هوش_مصنوعی #اتوماسیون #کیفیت_محتوا
🟣لینک مقاله:
https://cur.at/7hqw4cZ?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Smartesting
Lynqa - Execute your Xray tests with AI
Execute your Xray tests with AI. Lynqa integrates with your Xray repository on Jira. Test faster, spend less, deliver better.
🔵 عنوان مقاله
Fake install logs in npm packages load RAT (5 minute read)
🟢 خلاصه مقاله:
محققان اخیراً موفق به شناسایی دستهای از بستههای مخرب در مخزنهای npm شدند که به «کمپین Ghost» معروف شده است. این گروه تبهکار از اوایل ماه فوریه فعالیت میکند و تمامی این بستهها توسط یک کاربر واحد در npm انتشار یافتهاند. یکی از ویژگیهای این حمله، نمایش لاگهای نصب جعلی است؛ این لاگها با تأخیرهای تصادفی و نوار پیشرفت طراحی شدهاند تا فعالیت مخرب را پنهان کنند و ظاهری طبیعی به فرآیند نصب بدهند. در حین این فرآیند ساختگی، کاربر از طریق یک پیام ظاهر میشود که از او میخواهد رمز عبور سودو (sudo) خود را وارد کند، ادعای آن این است که این کار برای رفع خطاهای نصب است، اما در واقع هدف، دسترسی به سیستم و اجرای یک تروجان است. پس از دریافت این رمز، هکرها از آن برای اجرای یک حمله مرحله نهایی RAT (کیت کنترل از راه دور) بهره میبرند که قادر است کیفپولهای ارز دیجیتال و اطلاعات حساس کاربر را سرقت کند. این حمله نشان میدهد که چگونه حملههای مخرب در قالب فرآیندهای ظاهراً بیخطر میتوانند تهدیدهای جدی امنیتی ایجاد کنند و کاربران را فریب دهند تا بدون آگاهی، در دام این تبهکاران بیفتند.
#امنیت_سایبری #حملات_در_نقاب #تروجان #حفاظت
🟣لینک مقاله:
https://www.reversinglabs.com/blog/npm-fake-install-logs-rat?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Fake install logs in npm packages load RAT (5 minute read)
🟢 خلاصه مقاله:
محققان اخیراً موفق به شناسایی دستهای از بستههای مخرب در مخزنهای npm شدند که به «کمپین Ghost» معروف شده است. این گروه تبهکار از اوایل ماه فوریه فعالیت میکند و تمامی این بستهها توسط یک کاربر واحد در npm انتشار یافتهاند. یکی از ویژگیهای این حمله، نمایش لاگهای نصب جعلی است؛ این لاگها با تأخیرهای تصادفی و نوار پیشرفت طراحی شدهاند تا فعالیت مخرب را پنهان کنند و ظاهری طبیعی به فرآیند نصب بدهند. در حین این فرآیند ساختگی، کاربر از طریق یک پیام ظاهر میشود که از او میخواهد رمز عبور سودو (sudo) خود را وارد کند، ادعای آن این است که این کار برای رفع خطاهای نصب است، اما در واقع هدف، دسترسی به سیستم و اجرای یک تروجان است. پس از دریافت این رمز، هکرها از آن برای اجرای یک حمله مرحله نهایی RAT (کیت کنترل از راه دور) بهره میبرند که قادر است کیفپولهای ارز دیجیتال و اطلاعات حساس کاربر را سرقت کند. این حمله نشان میدهد که چگونه حملههای مخرب در قالب فرآیندهای ظاهراً بیخطر میتوانند تهدیدهای جدی امنیتی ایجاد کنند و کاربران را فریب دهند تا بدون آگاهی، در دام این تبهکاران بیفتند.
#امنیت_سایبری #حملات_در_نقاب #تروجان #حفاظت
🟣لینک مقاله:
https://www.reversinglabs.com/blog/npm-fake-install-logs-rat?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
ReversingLabs
Malicious npm packages use fake install logs to load RAT | ReversingLabs
The final-stage malware in the Ghost campaign is a RAT designed to steal crypto wallets and sensitive data.
🔵 عنوان مقاله
Cloud security is moving closer to the application. (Sponsor)
🟢 خلاصه مقاله:
امنیت ابری در حال نزدیکتر شدن به برنامهها و سامانههای کاربردی است. در واقع، حفاظت و پاسخگویی به خطرات باید در زمان اجرا صورت گیرد، یعنی در لحظهای که فعالیت واقعی در حال انجام است. به همین دلیل، فناوریهایی مانند کشف و پاسخدهی به تهدیدات در محیطهای ابری (CADR) به تدریج رشد میکنند تا این نیاز حیاتی را برآورده سازند. این فناوری جدید، نقش مهمی در حفاظت از برنامههای ابری و سیستمهای هوشمند مبتنی بر هوش مصنوعی دارد، به ویژه در محیطهایی که در حال حاضر در حال اجرا هستند. کتاب «مفهوم CADR برای مبتدیها» به تیمهای توسعه و امنیت آموزش میدهد که چگونه میتوانند در برابر تهدیدات در زمان واقعی، از برنامههای ابری و سیستمهای هوشمند خود محافظت کنند. اگر به دنبال راهنمایی جامع در این زمینه هستید، حتما این راهنما را دریافت کنید و با روندهای پیشرفته امنیت ابری آشنا شوید.
#امنیت_ابری #CADR #هوش_مصنوعی #حفاظت_در_زمان_واقعي
🟣لینک مقاله:
https://www.oligo.security/cadr-for-dummies?utm_campaign=369717496-TLDR%20Newsletter%20March%202026&utm_source=TLDR&utm_medium=newsletter&utm_term=TLDR-newsletter-traffic&utm_content=newsletter-ad
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Cloud security is moving closer to the application. (Sponsor)
🟢 خلاصه مقاله:
امنیت ابری در حال نزدیکتر شدن به برنامهها و سامانههای کاربردی است. در واقع، حفاظت و پاسخگویی به خطرات باید در زمان اجرا صورت گیرد، یعنی در لحظهای که فعالیت واقعی در حال انجام است. به همین دلیل، فناوریهایی مانند کشف و پاسخدهی به تهدیدات در محیطهای ابری (CADR) به تدریج رشد میکنند تا این نیاز حیاتی را برآورده سازند. این فناوری جدید، نقش مهمی در حفاظت از برنامههای ابری و سیستمهای هوشمند مبتنی بر هوش مصنوعی دارد، به ویژه در محیطهایی که در حال حاضر در حال اجرا هستند. کتاب «مفهوم CADR برای مبتدیها» به تیمهای توسعه و امنیت آموزش میدهد که چگونه میتوانند در برابر تهدیدات در زمان واقعی، از برنامههای ابری و سیستمهای هوشمند خود محافظت کنند. اگر به دنبال راهنمایی جامع در این زمینه هستید، حتما این راهنما را دریافت کنید و با روندهای پیشرفته امنیت ابری آشنا شوید.
#امنیت_ابری #CADR #هوش_مصنوعی #حفاظت_در_زمان_واقعي
🟣لینک مقاله:
https://www.oligo.security/cadr-for-dummies?utm_campaign=369717496-TLDR%20Newsletter%20March%202026&utm_source=TLDR&utm_medium=newsletter&utm_term=TLDR-newsletter-traffic&utm_content=newsletter-ad
➖➖➖➖➖➖➖➖
👑 @software_Labdon
www.oligo.security
CADR for dummies
CADR for Dummies-your practical guide to Cloud Application Detection & Response: how to detect, investigate, and stop threats in production with runtime context.
🔵 عنوان مقاله
The phone call is the new phishing email (2 minute read)
🟢 خلاصه مقاله:
در حال حاضر، تماس تلفنی نقش جدیدی در حملات فیشینگ ایفا میکند و جایگزین ایمیلهای فیشینگ شده است. گزارشی که توسط شرکت مندیانت در رشته روندهای فناوری ۲۰۲۵ منتشر شده، نشان میدهد که حملات فیشینگ مبتنی بر تماس صوتی، که از شاخههای حملات گروههای هکری مانند The Com و Scattered Spider هستند، اکنون ۱۱٪ از مجموع حوادث بررسیشده را تشکیل میدهند. این در حالی است که حملات فیشینگ از طریق ایمیل در سال ۲۰۲۲ حدود ۲۲٪ سهم داشتند، اما در سال جاری با کاهش قابل توجه به تنها ۶٪ رسیدهاند.
این تغییر روند نشان میدهد که مجرمان سایبری با تغییر تاکتیکهای خود سعی در فریب قربانیان دارند و تماس تلفنی، به عنوان روشی شخصیتر و موثرتر، جایگزین ایمیلهای فیشینگ شده است. بنابراین، آگاهی و آموزش کاربران در مواجهه با این نوع حملات اهمیت بیشتری پیدا میکند، چرا که این نوع حملات بسیار هوشمندانه و متمرکز هستند و ممکن است خسارات گستردهای به همراه داشته باشند.
در نتیجه، سازمانها و افراد باید راهکارهای امنیتی متناسب برای مقابله با این نوع حملات جدید توسعه دهند و بر آموزش کاربرانی که ممکن است هدف مورد حمله قرار گیرند تاکید کنند. در نهایت، آگاهی عمومی درباره تغییرات در رفتار هکرها میتواند نقش مهمی در کاهش موفقیت این حملات ایفا کند.
#فیشینگ #امنیت_سایبری #حملات_تلفنی #آموزش_امنیت
🟣لینک مقاله:
https://cyberscoop.com/social-engineering-surge-intrusion-vector-mandiant-m-trends/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
The phone call is the new phishing email (2 minute read)
🟢 خلاصه مقاله:
در حال حاضر، تماس تلفنی نقش جدیدی در حملات فیشینگ ایفا میکند و جایگزین ایمیلهای فیشینگ شده است. گزارشی که توسط شرکت مندیانت در رشته روندهای فناوری ۲۰۲۵ منتشر شده، نشان میدهد که حملات فیشینگ مبتنی بر تماس صوتی، که از شاخههای حملات گروههای هکری مانند The Com و Scattered Spider هستند، اکنون ۱۱٪ از مجموع حوادث بررسیشده را تشکیل میدهند. این در حالی است که حملات فیشینگ از طریق ایمیل در سال ۲۰۲۲ حدود ۲۲٪ سهم داشتند، اما در سال جاری با کاهش قابل توجه به تنها ۶٪ رسیدهاند.
این تغییر روند نشان میدهد که مجرمان سایبری با تغییر تاکتیکهای خود سعی در فریب قربانیان دارند و تماس تلفنی، به عنوان روشی شخصیتر و موثرتر، جایگزین ایمیلهای فیشینگ شده است. بنابراین، آگاهی و آموزش کاربران در مواجهه با این نوع حملات اهمیت بیشتری پیدا میکند، چرا که این نوع حملات بسیار هوشمندانه و متمرکز هستند و ممکن است خسارات گستردهای به همراه داشته باشند.
در نتیجه، سازمانها و افراد باید راهکارهای امنیتی متناسب برای مقابله با این نوع حملات جدید توسعه دهند و بر آموزش کاربرانی که ممکن است هدف مورد حمله قرار گیرند تاکید کنند. در نهایت، آگاهی عمومی درباره تغییرات در رفتار هکرها میتواند نقش مهمی در کاهش موفقیت این حملات ایفا کند.
#فیشینگ #امنیت_سایبری #حملات_تلفنی #آموزش_امنیت
🟣لینک مقاله:
https://cyberscoop.com/social-engineering-surge-intrusion-vector-mandiant-m-trends/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
CyberScoop
The phone call is the new phishing email
Voice-based phishing was at the root of multiple attack sprees Mandiant responded to last year, reflecting a concerning shift in tactics.
🔵 عنوان مقاله
Urgency Is Killing Your QA: Here's How to Save It (Before It's Too Late)
🟢 خلاصه مقاله:
فوریت و عجله در فرآیند کنترل کیفیت، ممکن است به راحتی کیفیت نهایی محصول را خراب کند و نتیجهگیری نادرستی را به همراه داشته باشد. در این مقاله، مارینا جوردا راهکارهای موثری را برای حفظ کیفیت در حین رعایت مهلتهای زمانی ارائه میدهد. با تمرکز بر تعیین اولویتهای درست، همکاری مؤثر میان اعضای تیم، و انجام بررسیهای سریع و کاوشگرانه، میتوان فرآیند تست را همزمان با برآورده کردن زمانبندیها، بهبود بخشید.
در دنیای امروز، فشار برای اتمام سریع پروژهها میتواند منجر به کاهش دقت و نادیده گرفتن جزئیات مهم در فرآیند آزمایش شود. اما با رویکردهای هوشمندانهای مانند تعیین اولویت وظایف بر اساس اهمیت و ریسکهای مربوطه، تیمها قادر خواهند بود به بهترین شکل ممکن از زمان خود بهرهمند شوند بدون اینکه کیفیت فدای عجله شود. همکاری فعال و منسجم میان اعضای تیم نیز نقش کلیدی در تسریع فرآیندها دارد، چرا که اطلاعات به صورت مؤثر تبادل میشود و مسیرهای حل مشکل هموارتر خواهند شد.
در کنار این موارد، انجام بررسیهای سریع و کاوشگرانه، ابزار مناسبی برای شناسایی سریع اشکالات و نقاط ضعف است که به اصلاح سریع و بهبود کیفیت کمک میکند. این رویکردها موجب میشود تا تیمهای تست بتوانند در کمترین زمان ممکن، با دقت بالا، مشکلات را تشخیص دهند و راهحلی مناسب پیدا کنند، قبل از اینکه زمان بسیار محدود شود.
در نتیجه، با رعایت این نکات کلیدی، میتوان فرآیند کنترل کیفیت را در کنار حفظ مهلتها، بهبود بخشید و از آسیبهای ناشی از عجله جلوگیری کرد. مهم است که تیمها به جای تلاش برای انجام کار در کمترین زمان ممکن، بر روی انجام وظایف به شکل هوشمندانه و منظم تمرکز کنند تا بهترین نتیجه را کسب نمایند.
#کیفیت_تست #مدیریت_زمان #توسعه_برنامه_ها #کارایی
🟣لینک مقاله:
https://cur.at/oCgExjA?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Urgency Is Killing Your QA: Here's How to Save It (Before It's Too Late)
🟢 خلاصه مقاله:
فوریت و عجله در فرآیند کنترل کیفیت، ممکن است به راحتی کیفیت نهایی محصول را خراب کند و نتیجهگیری نادرستی را به همراه داشته باشد. در این مقاله، مارینا جوردا راهکارهای موثری را برای حفظ کیفیت در حین رعایت مهلتهای زمانی ارائه میدهد. با تمرکز بر تعیین اولویتهای درست، همکاری مؤثر میان اعضای تیم، و انجام بررسیهای سریع و کاوشگرانه، میتوان فرآیند تست را همزمان با برآورده کردن زمانبندیها، بهبود بخشید.
در دنیای امروز، فشار برای اتمام سریع پروژهها میتواند منجر به کاهش دقت و نادیده گرفتن جزئیات مهم در فرآیند آزمایش شود. اما با رویکردهای هوشمندانهای مانند تعیین اولویت وظایف بر اساس اهمیت و ریسکهای مربوطه، تیمها قادر خواهند بود به بهترین شکل ممکن از زمان خود بهرهمند شوند بدون اینکه کیفیت فدای عجله شود. همکاری فعال و منسجم میان اعضای تیم نیز نقش کلیدی در تسریع فرآیندها دارد، چرا که اطلاعات به صورت مؤثر تبادل میشود و مسیرهای حل مشکل هموارتر خواهند شد.
در کنار این موارد، انجام بررسیهای سریع و کاوشگرانه، ابزار مناسبی برای شناسایی سریع اشکالات و نقاط ضعف است که به اصلاح سریع و بهبود کیفیت کمک میکند. این رویکردها موجب میشود تا تیمهای تست بتوانند در کمترین زمان ممکن، با دقت بالا، مشکلات را تشخیص دهند و راهحلی مناسب پیدا کنند، قبل از اینکه زمان بسیار محدود شود.
در نتیجه، با رعایت این نکات کلیدی، میتوان فرآیند کنترل کیفیت را در کنار حفظ مهلتها، بهبود بخشید و از آسیبهای ناشی از عجله جلوگیری کرد. مهم است که تیمها به جای تلاش برای انجام کار در کمترین زمان ممکن، بر روی انجام وظایف به شکل هوشمندانه و منظم تمرکز کنند تا بهترین نتیجه را کسب نمایند.
#کیفیت_تست #مدیریت_زمان #توسعه_برنامه_ها #کارایی
🟣لینک مقاله:
https://cur.at/oCgExjA?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Medium
Urgency Is Killing Your QA: Here’s How to Save It (Before It’s Too Late)
In the fast-paced world of software development, everything feels urgent. The pressure to deliver new features quickly, fix critical bugs…
🔵 عنوان مقاله
Why Your Brain is a Cyber Security Risk (4 minute read)
🟢 خلاصه مقاله:
در مواقع استرس، مغز به سمت گزینههای آشناتر هدایت میشود؛ رفتاری که هکرها و عاملان تهدیدهای سایبری بهطور عمدی از آن بهرهبرداری میکنند. به عنوان مثال، ایمیل جعلی ریریست کردن رمز عبور، فرد را دچار حالت اضطراب میکند و ممکن است او ناخواسته روی لینک فیشینگ کلیک کند یا رمز قدیمی را مجدد وارد کند. این اقدام ساده اما خطرناک میتواند منجر به افشای اطلاعات حساس سازمانی شود و امنیت حسابهای شرکتی را تهدید کند. مکانیزمهای پشت این رفتار شامل تعصب به آشنایی و تنگنای شناختی است که باعث میشود افراد در زمان فشار، تصمیمگیریهای نادرستی بگیرند. راهحلهای عملی برای مقابله با این مشکل وجود دارد، از جمله استفاده از احراز هویت چندعاملی با گواهینامه در VPN، پیادهسازی سامانهای مرکزی برای مدیریت کلیدهای رمز، توقف اجبار به تغییر رمز عبور با توجه به استانداردهای NIST SP 800-63B و دیگر تدابیر امنیتی موثر که میتواند سطح حفاظت سازمان را ارتقا دهد.
#امنیت_سایبری #هوشمندسازی_امنیت #حفاظت_اطلاعات #هوشمندسازی
🟣لینک مقاله:
https://www.marisec.ca/reports/why-your-brain-is-a-cyber-security-risk?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Why Your Brain is a Cyber Security Risk (4 minute read)
🟢 خلاصه مقاله:
در مواقع استرس، مغز به سمت گزینههای آشناتر هدایت میشود؛ رفتاری که هکرها و عاملان تهدیدهای سایبری بهطور عمدی از آن بهرهبرداری میکنند. به عنوان مثال، ایمیل جعلی ریریست کردن رمز عبور، فرد را دچار حالت اضطراب میکند و ممکن است او ناخواسته روی لینک فیشینگ کلیک کند یا رمز قدیمی را مجدد وارد کند. این اقدام ساده اما خطرناک میتواند منجر به افشای اطلاعات حساس سازمانی شود و امنیت حسابهای شرکتی را تهدید کند. مکانیزمهای پشت این رفتار شامل تعصب به آشنایی و تنگنای شناختی است که باعث میشود افراد در زمان فشار، تصمیمگیریهای نادرستی بگیرند. راهحلهای عملی برای مقابله با این مشکل وجود دارد، از جمله استفاده از احراز هویت چندعاملی با گواهینامه در VPN، پیادهسازی سامانهای مرکزی برای مدیریت کلیدهای رمز، توقف اجبار به تغییر رمز عبور با توجه به استانداردهای NIST SP 800-63B و دیگر تدابیر امنیتی موثر که میتواند سطح حفاظت سازمان را ارتقا دهد.
#امنیت_سایبری #هوشمندسازی_امنیت #حفاظت_اطلاعات #هوشمندسازی
🟣لینک مقاله:
https://www.marisec.ca/reports/why-your-brain-is-a-cyber-security-risk?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
www.marisec.ca
Why Your Brain is a Cyber Security Risk
Human thought is still evolving to handle the digital world. We act instinctively when we should act deliberately — and under pressure, we rarely consider all the options available to us. This article examines how we think under stress and outlines practical…
🔵 عنوان مقاله
TeamPCP Hacks Checkmarx GitHub Actions Using Stolen CI Credentials (4 minute read)
🟢 خلاصه مقاله:
در یک حمله سایبری پیچیده، گروه تیم پیسیپی (TeamPCP) موفق شد هفتاد و دو عملیات GitHub مربوط به Checkmarx را مورد نفوذ قرار دهد. این گروه، با بهرهگیری از اطلاعات سرقتشده در حمله قبلی به پروژه Trivy، توانست مجدداً به حسابهای کاربری و مخازن این شرکت دسترسی پیدا کند. آنها از جزئیات سرقتشده—including کلیدهای SSH، اعتبارنامههای مربوط به سرویسهای ابری مانند AWS، GCP و Azure، تنظیمات کلاسترهای Kubernetes، اسرار مربوط به داکر و دادههای کیف پولهای ارزهای دیجیتال—استفاده کردند. این اطلاعات حساس، در قالب یک فایل آرشیو رمزگذاریشده، به سمت دامنهای مخرب به نام checkmarx[.]zone ارسال شد.
گروه تیم پیسیپی، با بهرهبرداری از این اطلاعات، چند عملیات GitHub Actions محبوب Checkmarx را هدف قرار داد. این عملیاتهای خودکار، که معمولاً برای تستهای امنیتی و توسعه نرمافزار مورد استفاده قرار میگیرند، در نتیجه به آستانه نفوذ و دسترسی بیشتر رسیدند و امکان اجرای کدهای مخرب را برای مهاجمان فراهم کردند. این حادثه نشان میدهد که چقدر سرقت و استفاده مجدد از اطلاعات سرقتشده میتواند منجر به آسیبپذیریهای بزرگ در پروژهها و سیستمهای یکسان شود، مخصوصاً زمانی که سازمانها به امنیت در سطح غریزی و پیشرفته نیاز دارند.
در کنار این حملات، تروجانهای مخفی موجود در افزونههای Open VSX برای ویرایشگر Visual Studio Code به کار گرفته شدند تا نفوذ بیشتر نفوذگران به سیستمها را تسهیل کنند. این افزونههای مخرب، که از ظاهری عادی برخوردارند، کاربران را فریب میدهند تا به اجرای کدهای مخرب در محیط توسعه خود ترغیب شوند. این رویداد نمونهای است از اهمیت بررسی دقیق و امنیتی در هنگام نصب و بهروزرسانی افزونههای نرمافزاری، بهخصوص در محیطهای توسعه که حاوی اطلاعات حساس هستند.
در مجموع، این حادثه هشدار مهمی است برای شرکتها و توسعهدهندگان درباره لزوم تقویت امنیت حسابهای کاربری، پایبندی به بهترین شیوههای امنیتی و نظارت مستمر بر فعالیتهای شبکه و مخازن کد منبع. تنها با اتخاذ تدابیر سختگیرانه، میتوان از تکرار این نوع حملات و آسیبپذیریهای بزرگ جلوگیری کرد.
#امنیت_سایبری #حملات_گیتهاب #مدیریت_دسترسی #حفاظت_اطلاعات
🟣لینک مقاله:
https://thehackernews.com/2026/03/teampcp-hacks-checkmarx-github-actions.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
TeamPCP Hacks Checkmarx GitHub Actions Using Stolen CI Credentials (4 minute read)
🟢 خلاصه مقاله:
در یک حمله سایبری پیچیده، گروه تیم پیسیپی (TeamPCP) موفق شد هفتاد و دو عملیات GitHub مربوط به Checkmarx را مورد نفوذ قرار دهد. این گروه، با بهرهگیری از اطلاعات سرقتشده در حمله قبلی به پروژه Trivy، توانست مجدداً به حسابهای کاربری و مخازن این شرکت دسترسی پیدا کند. آنها از جزئیات سرقتشده—including کلیدهای SSH، اعتبارنامههای مربوط به سرویسهای ابری مانند AWS، GCP و Azure، تنظیمات کلاسترهای Kubernetes، اسرار مربوط به داکر و دادههای کیف پولهای ارزهای دیجیتال—استفاده کردند. این اطلاعات حساس، در قالب یک فایل آرشیو رمزگذاریشده، به سمت دامنهای مخرب به نام checkmarx[.]zone ارسال شد.
گروه تیم پیسیپی، با بهرهبرداری از این اطلاعات، چند عملیات GitHub Actions محبوب Checkmarx را هدف قرار داد. این عملیاتهای خودکار، که معمولاً برای تستهای امنیتی و توسعه نرمافزار مورد استفاده قرار میگیرند، در نتیجه به آستانه نفوذ و دسترسی بیشتر رسیدند و امکان اجرای کدهای مخرب را برای مهاجمان فراهم کردند. این حادثه نشان میدهد که چقدر سرقت و استفاده مجدد از اطلاعات سرقتشده میتواند منجر به آسیبپذیریهای بزرگ در پروژهها و سیستمهای یکسان شود، مخصوصاً زمانی که سازمانها به امنیت در سطح غریزی و پیشرفته نیاز دارند.
در کنار این حملات، تروجانهای مخفی موجود در افزونههای Open VSX برای ویرایشگر Visual Studio Code به کار گرفته شدند تا نفوذ بیشتر نفوذگران به سیستمها را تسهیل کنند. این افزونههای مخرب، که از ظاهری عادی برخوردارند، کاربران را فریب میدهند تا به اجرای کدهای مخرب در محیط توسعه خود ترغیب شوند. این رویداد نمونهای است از اهمیت بررسی دقیق و امنیتی در هنگام نصب و بهروزرسانی افزونههای نرمافزاری، بهخصوص در محیطهای توسعه که حاوی اطلاعات حساس هستند.
در مجموع، این حادثه هشدار مهمی است برای شرکتها و توسعهدهندگان درباره لزوم تقویت امنیت حسابهای کاربری، پایبندی به بهترین شیوههای امنیتی و نظارت مستمر بر فعالیتهای شبکه و مخازن کد منبع. تنها با اتخاذ تدابیر سختگیرانه، میتوان از تکرار این نوع حملات و آسیبپذیریهای بزرگ جلوگیری کرد.
#امنیت_سایبری #حملات_گیتهاب #مدیریت_دسترسی #حفاظت_اطلاعات
🟣لینک مقاله:
https://thehackernews.com/2026/03/teampcp-hacks-checkmarx-github-actions.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
Popular LiteLLM PyPI Package Backdoored to Steal Credentials and Auth Tokens (2 minute read)
🟢 خلاصه مقاله:
گروه هکری TeamPCP، که اخیراً مسئول حمله زنجیرهای به پکیج تراوی در مخزن PyPI بود، حالا ادعا کرده است که حملهای مشابه را علیه پکیج LiteLLM انجام داده است. نسخههای مخرب این بسته، فایلهایی با پسوند `.pth` را دانلود میکنند که در هر بار راهاندازی مفسر پایتون اجرا میشوند. هدف از این فرآیند، بارگذاری و اجرای کد مخرب تحت عنوان حملهای به نام CloudStealer است. این بدافزار تلاش میکند اطلاعات حساس کاربران، مانند کلیدهای دسترسی به ابر، توکنهای حسابهای سرویس در کلاود، کلیدهای SSH، اطلاعات کیف پولهای ارز دیجیتال و اطلاعات مربوط به پایگاههای داده، سرقت کند.
پس از جمعآوری این دادههای حیاتی، مهاجمان سعی میکنند آنها را به سرورهای مخفی خود ارسال و سوءاستفاده کنند. این نوع حمله، نشان میدهد که گروههای هکری چگونه با بهرهگیری از بهروزرسانیهای مخرب، به صورت پنهانی وارد سیستمهای کاربران شده و اطلاعات بسیار حساس آنها را به سرقت میبرند. کاربران باید در جهت محافظت از سیستمهای خود، از صحت و امنیت نسخههای نرمافزارهای نصبشده اطمینان حاصل کرده و همواره هشدارهای مربوط به امنیت در مخزنهای عمومی مانند PyPI را رعایت کنند. این حادثه هشدار جدی برای توسعهدهندگان و کاربران پکیجهای متنباز است تا همواره مواظب منابع دانلود نرمافزارهای مورد استفاده خود باشند و از صحت و اعتبار آنها اطمینان حاصل کنند.
#امنیت #حملات_سایبری #نرمافزارهای_مخرب #حفاظت_اطلاعات
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/popular-litellm-pypi-package-compromised-in-teampcp-supply-chain-attack/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Popular LiteLLM PyPI Package Backdoored to Steal Credentials and Auth Tokens (2 minute read)
🟢 خلاصه مقاله:
گروه هکری TeamPCP، که اخیراً مسئول حمله زنجیرهای به پکیج تراوی در مخزن PyPI بود، حالا ادعا کرده است که حملهای مشابه را علیه پکیج LiteLLM انجام داده است. نسخههای مخرب این بسته، فایلهایی با پسوند `.pth` را دانلود میکنند که در هر بار راهاندازی مفسر پایتون اجرا میشوند. هدف از این فرآیند، بارگذاری و اجرای کد مخرب تحت عنوان حملهای به نام CloudStealer است. این بدافزار تلاش میکند اطلاعات حساس کاربران، مانند کلیدهای دسترسی به ابر، توکنهای حسابهای سرویس در کلاود، کلیدهای SSH، اطلاعات کیف پولهای ارز دیجیتال و اطلاعات مربوط به پایگاههای داده، سرقت کند.
پس از جمعآوری این دادههای حیاتی، مهاجمان سعی میکنند آنها را به سرورهای مخفی خود ارسال و سوءاستفاده کنند. این نوع حمله، نشان میدهد که گروههای هکری چگونه با بهرهگیری از بهروزرسانیهای مخرب، به صورت پنهانی وارد سیستمهای کاربران شده و اطلاعات بسیار حساس آنها را به سرقت میبرند. کاربران باید در جهت محافظت از سیستمهای خود، از صحت و امنیت نسخههای نرمافزارهای نصبشده اطمینان حاصل کرده و همواره هشدارهای مربوط به امنیت در مخزنهای عمومی مانند PyPI را رعایت کنند. این حادثه هشدار جدی برای توسعهدهندگان و کاربران پکیجهای متنباز است تا همواره مواظب منابع دانلود نرمافزارهای مورد استفاده خود باشند و از صحت و اعتبار آنها اطمینان حاصل کنند.
#امنیت #حملات_سایبری #نرمافزارهای_مخرب #حفاظت_اطلاعات
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/popular-litellm-pypi-package-compromised-in-teampcp-supply-chain-attack/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
BleepingComputer
Popular LiteLLM PyPI package backdoored to steal credentials, auth tokens
The TeamPCP hacking group continues its supply-chain rampage, now compromising the massively popular "LiteLLM" Python package on PyPI and claiming to have stolen data from hundreds of thousands of devices during the attack.
🔵 عنوان مقاله
FBI Confirms Hack of Director Patel's Personal Email Inbox (2 minute read)
🟢 خلاصه مقاله:
مدتی است که خبر نفوذ به حساب شخصی مدیر افبیآی، کاش پاتل، بسیار داغ شده است. این حمله در واکنش به توقیف وبسایت گروه هکشدههای مرتبط با ایران، Handala، صورت گرفت. گروه هکر Handala اعلام کرد که توانسته است به ایمیل شخصی پاتل در سرویس جیمیل نفوذ کند. این خبر باعث نگرانیهای امنیتی و لو رفتن اطلاعات شخصی و محرمانهای شد که میتواند تاثیرات گستردهای داشته باشد.
در پی این حمله، افبیآی تایید کرد که هکرها وارد حساب ایمیل شخصی مدیر عامل شدهاند و بلافاصله اقداماتی جهت کاهش پیامدهای منفی این نفوذ انجام داد. این اقدامات شامل کنترل و محدود کردن دسترسیهای غیرمجاز و ارزیابی کامل امنیت حسابهای مرتبط بود تا از آسیبهای احتمالی جلوگیری کند. گروه هکر Handala همچنین بخشی از دادههای به سرقت رفته را با آبطلا کاری شده و علامتگذاری شده منتشر کرده است، که نشان دهنده سطح اهمیت و تلاش برای اطلاعرسانی است.
این رخداد امنیت سایبری نشان میدهد که چقدر حملات هکری میتواند تأثیرگذار باشد و امنیت اطلاعات شخصی و حرفهای افراد در جایگاههای حساس را تهدید کند. در عین حال، این رویداد هشدار دهنده است که افراد و نهادهای حساس باید در حفاظت از دادههای خود بسیار مراقب باشند و اقدامات امنیت سایبری مناسبی اتخاذ کنند تا از نفوذهای احتمالی جلوگیری، و در صورت وقوع، سریعاً واکنش نشان دهند.
#امنیت_سایبری #نفوذ_حساب_ایمیل #هک_گروه_Handala #افبیآی
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/fbi-confirms-hack-of-director-patels-personal-email-inbox/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
FBI Confirms Hack of Director Patel's Personal Email Inbox (2 minute read)
🟢 خلاصه مقاله:
مدتی است که خبر نفوذ به حساب شخصی مدیر افبیآی، کاش پاتل، بسیار داغ شده است. این حمله در واکنش به توقیف وبسایت گروه هکشدههای مرتبط با ایران، Handala، صورت گرفت. گروه هکر Handala اعلام کرد که توانسته است به ایمیل شخصی پاتل در سرویس جیمیل نفوذ کند. این خبر باعث نگرانیهای امنیتی و لو رفتن اطلاعات شخصی و محرمانهای شد که میتواند تاثیرات گستردهای داشته باشد.
در پی این حمله، افبیآی تایید کرد که هکرها وارد حساب ایمیل شخصی مدیر عامل شدهاند و بلافاصله اقداماتی جهت کاهش پیامدهای منفی این نفوذ انجام داد. این اقدامات شامل کنترل و محدود کردن دسترسیهای غیرمجاز و ارزیابی کامل امنیت حسابهای مرتبط بود تا از آسیبهای احتمالی جلوگیری کند. گروه هکر Handala همچنین بخشی از دادههای به سرقت رفته را با آبطلا کاری شده و علامتگذاری شده منتشر کرده است، که نشان دهنده سطح اهمیت و تلاش برای اطلاعرسانی است.
این رخداد امنیت سایبری نشان میدهد که چقدر حملات هکری میتواند تأثیرگذار باشد و امنیت اطلاعات شخصی و حرفهای افراد در جایگاههای حساس را تهدید کند. در عین حال، این رویداد هشدار دهنده است که افراد و نهادهای حساس باید در حفاظت از دادههای خود بسیار مراقب باشند و اقدامات امنیت سایبری مناسبی اتخاذ کنند تا از نفوذهای احتمالی جلوگیری، و در صورت وقوع، سریعاً واکنش نشان دهند.
#امنیت_سایبری #نفوذ_حساب_ایمیل #هک_گروه_Handala #افبیآی
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/fbi-confirms-hack-of-director-patels-personal-email-inbox/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
BleepingComputer
FBI confirms hack of Director Patel's personal email inbox
The Handala hackers associated with Iran have breached the personal email account of FBI Director Kash Patel and published photos and documents.
🔵 عنوان مقاله
Introducing the OpenAI Safety Bug Bounty program (2 minute read)
🟢 خلاصه مقاله:
شرکت OpenAI با هدف ارتقای امنیت و کاهش خطرات سوءاستفادههای مرتبط با هوش مصنوعی، برنامهای عمومی تحت عنوان "برنامه دریافت جایزه برای کشف حفرههای امنیتی" را در پلتفرم Bugcrowd راهاندازی کرده است. این برنامه با هدف تشویق پژوهشگران و متخصصان امنیت سایبری، شرکتها و کاربران عادی به شناسایی نقاط ضعف در سامانههای هوشمند این شرکت طراحی شده است.
در این برنامه، افراد با کشف و گزارش آسیبپذیریها و نقاط ضعف در سامانههای هوش مصنوعی، جوایز مالی دریافت میکنند. هدف اصلی این اقدام، تقویت تدابیر امنیتی و اطمینان از عملکرد صحیح و ایمن سیستمهای هوش مصنوعی است که روزبهروز نقش بیشتری در زندگی روزمره و صنایع مختلف پیدا میکنند. با توجه به رشد فناوریهای هوشمند، شناسایی و برطرف کردن این آسیبپذیریها اهمیت حیاتی پیدا کرده است و OpenAI با اجرای این برنامه، دسترسی سریع و مؤثر به کشف مشکلات احتمالی را تسهیل میکند.
با این حرکت، OpenAI نشان میدهد که دغدغه اصلیاش امنیت و مسئولیتپذیری در توسعه فناوریهای نوین است و از جامعه امنیت سایبری برای پشتیبانی از هدفش در ایجاد سامانههای هوشمند ایمن و قابل اعتماد بهره میجوید. این برنامه فرصتی است برای تمامی علاقهمندان و متخصصان حوزه امنیت، تا در مسیر ساخت آیندهای سالم و مطمئنتر برای فناوریهای هوشمند نقش آفرینی کنند.
#امنیت_هوشمند #پیشگیری_از_سوءاستفاده #برنامه_جایزه_حفره #امنیت_سایبری
🟣لینک مقاله:
https://openai.com/index/safety-bug-bounty/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Introducing the OpenAI Safety Bug Bounty program (2 minute read)
🟢 خلاصه مقاله:
شرکت OpenAI با هدف ارتقای امنیت و کاهش خطرات سوءاستفادههای مرتبط با هوش مصنوعی، برنامهای عمومی تحت عنوان "برنامه دریافت جایزه برای کشف حفرههای امنیتی" را در پلتفرم Bugcrowd راهاندازی کرده است. این برنامه با هدف تشویق پژوهشگران و متخصصان امنیت سایبری، شرکتها و کاربران عادی به شناسایی نقاط ضعف در سامانههای هوشمند این شرکت طراحی شده است.
در این برنامه، افراد با کشف و گزارش آسیبپذیریها و نقاط ضعف در سامانههای هوش مصنوعی، جوایز مالی دریافت میکنند. هدف اصلی این اقدام، تقویت تدابیر امنیتی و اطمینان از عملکرد صحیح و ایمن سیستمهای هوش مصنوعی است که روزبهروز نقش بیشتری در زندگی روزمره و صنایع مختلف پیدا میکنند. با توجه به رشد فناوریهای هوشمند، شناسایی و برطرف کردن این آسیبپذیریها اهمیت حیاتی پیدا کرده است و OpenAI با اجرای این برنامه، دسترسی سریع و مؤثر به کشف مشکلات احتمالی را تسهیل میکند.
با این حرکت، OpenAI نشان میدهد که دغدغه اصلیاش امنیت و مسئولیتپذیری در توسعه فناوریهای نوین است و از جامعه امنیت سایبری برای پشتیبانی از هدفش در ایجاد سامانههای هوشمند ایمن و قابل اعتماد بهره میجوید. این برنامه فرصتی است برای تمامی علاقهمندان و متخصصان حوزه امنیت، تا در مسیر ساخت آیندهای سالم و مطمئنتر برای فناوریهای هوشمند نقش آفرینی کنند.
#امنیت_هوشمند #پیشگیری_از_سوءاستفاده #برنامه_جایزه_حفره #امنیت_سایبری
🟣لینک مقاله:
https://openai.com/index/safety-bug-bounty/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
OpenAI
Introducing the OpenAI Safety Bug Bounty program
OpenAI launches a Safety Bug Bounty program to identify AI abuse and safety risks, including agentic vulnerabilities, prompt injection, and data exfiltration.