🔵 عنوان مقاله
Hackers Exploit a Blind Spot by Hiding Malware Inside DNS Record (2 minute read)

🟢 خلاصه مقاله:
هکرها از طریق مخفی‌سازی بدافزارها در رکوردهای DNS، به ویژه رکوردهای TXT، توسط تبدیل فایل‌های باینری به هگزادسیمال و تقسیم آن‌ها بر روی چند دامنه فرعی، از دید سیستم‌های امنیتی پنهان می‌مانند. این تکنیک از آنجا که ترافیک DNS اغلب بدون نظارت است، اجازه می‌دهد تا این عملیات به راحتی انجام شود و در توزیع بدافزارهایی مانند Joke Screenmate و اسکریپت‌های مخرب PowerShell استفاده شود. این روش به هکرها کمک می‌کند که از شناسایی و گیر افتادن توسط سیستم‌های مراقبتی امنیتی متداول جلوگیری کنند و به این ترتیب امکان پذیرش و انجام حملات سایبری بدون توجه فزاینده‌ای به خود را افزایش دهند.

🟣لینک مقاله:
https://arstechnica.com/security/2025/07/hackers-exploit-a-blind-spot-by-hiding-malware-inside-dns-records/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Grok-4 Jailbreak with Echo Chamber and Crescendo (4 minute read)

🟢 خلاصه مقاله:
پژوهشگران نشان دادند که ترکیب دو تکنیک جیلبریک LLM، یعنی اکو چمبر (Echo Chamber) و کرسندو (Crescendo)، توانایی دور زدن تدابیر امنیتی هوش مصنوعی را به طور مؤثرتری نسبت به استفاده از هر یک از این روش‌ها به تنهایی افزایش می‌دهد. آزمایش‌ها روی Grok-4 در انجام کارهای مضر، مانند ارائه دستورالعمل‌های ساخت بمب، نرخ‌های موفقیتی بین 30% تا 67% را به دست آوردند. این کارها حاکی از پتانسیل خطرناک فرار از محدودیت‌های تعبیه شده در سیستم‌های هوش مصنوعی است و ضرورت توسعه مکانیزم‌های امنیتی پیشرفته‌تر را نشان می‌دهد تا از سوءاستفاده احتمالی جلوگیری شود. این پژوهش همچنین می‌تواند در تعیین راهکارهایی برای مقابله با تکنیک‌های جیلبریک از این دست رهنمود باشد.

🟣لینک مقاله:
https://neuraltrust.ai/blog/grok-4-jailbreak-echo-chamber-and-crescendo?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
SMM callout vulnerabilities identified in Gigabyte UEFI firmware modules (5 minute read)

🟢 خلاصه مقاله:
در تحقیق اخیر، چهار آسیب‌پذیری در نرم‌افزار UEFI محصولات Gigabyte کشف شده است که به شماره‌های CVE-2025-7026 تا CVE-2025-7029 طبقه‌بندی شده‌اند. این آسیب‌پذیری‌ها به مهاجمینی با دسترسی‌های مدیریتی امکان می‌دهد تا کد‌های مخرب را در حالت مدیریت سیستم (SMM) اجرا کنند، که این امر می‌تواند از حفاظت‌های سیستم‌عامل دور زده و حتی Secure Boot و Intel BootGuard را غیرفعال کند. این آسیب‌پذیری‌ها ناشی از تأیید نامناسب رجیسترهای CPU و اشاره‌گرها در مدیریت‌کننده‌های SMI هستند که به مهاجم اجازه کنترل نامطلوب بر نوشته‌ها و عملیات‌های فلش SMRAM را می‌دهند. با اینکه این مشکلات پیشتر توسط AMI برطرف شده بودند، اما دوباره در فرم‌ور Gigabyte ظاهر شده‌اند؛ بنابراین به کاربران توصیه می‌شود که فوراً نرم‌افزار UEFI خود را از طریق وب‌سایت پشتیبانی Gigabyte به‌روزرسانی کنند.

🟣لینک مقاله:
https://kb.cert.org/vuls/id/746790?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

📢 اگر تلگرام پرمیوم دارید، کانال ما رو Boost کنید ! 🚀

با Boost کردن کانال، به رشد و دیده شدن ما بیشتر کمک کنید💙

https://t.iss.one/boost/gopher_academy

🧠ویژگی‌های این روش:

🌟مزایا:

هیچ کدی بدون requirement نوشته نمیشه

تیم کاملاً می‌دونه داره چی می‌سازه

مستندسازی از ابتدا انجام میشه

کمتر feature creep پیش میاد

و Scope واضح و مشخصه

🌟تفاوت با روش‌های دیگه:

نسبت به Agile کمتر iterative هست

نسبت به TDD اول requirement می‌نویسی، نه test

نسبت به روش‌های سنتی، کمتر bureaucratic هست

🌟این روش خیلی مناسبه وقتی:

پروژه scope مشخصی داره

تیم کوچیکه و می‌خواد سریع پیش بره

نیاز به مستندسازی واضح داری

می‌خوای از over-engineering جلوگیری کنی

عملاً یه ترکیب خوب از planning محکم و execution انعطاف‌پذیره!

این Feature Creep (یا Scope Creep) یعنی اضافه شدن تدریجی و غیرکنترلی ویژگی‌های جدید به پروژه در حین توسعه، بدون اینکه در برنامه‌ریزی اولیه پیش‌بینی شده باشن.

## مثال‌های عملی:

پروژه اولیه: ساخت یک chat app ساده

Feature Creep:

- "بهتره emoji هم داشته باشیم"
- "چرا voice message نداریم؟"
- "باید group chat هم باشه"
-ا "notification system هم لازمه"
- "چت‌ها باید encrypt باشن"

## چرا مشکل‌سازه:

برای توسعه‌دهنده:
ا- Timeline بهم میریزه
- کد پیچیده‌تر میشه
ا- Technical debt زیاد میشه
- انگیزه کم میشه

برای پروژه:
- بودجه تمام میشه
- زمان تحویل عقب میفته
- کیفیت اصلی آسیب می‌بینه
- پروژه ممکنه نیمه‌کاره بمونه

## راه‌های جلوگیری:

- اRequirements محکم:
مثل همین روش Requirement Driven

ا- MVP تعریف کن:
اول minimum viable product رو بساز

ا- Change request process:
برای هر تغییر باید تصمیم‌گیری رسمی بشه

- قاطعیت: "این feature خوبه، ولی برای version بعدی"

خلاصه، feature creep دشمن شماره یک پروژه‌هاست که باعث میشه هیچ‌وقت finish نشن!

این Bureaucratic در توسعه نرم‌افزار یعنی روش‌هایی که پر از قوانین، فرآیندها، مستندسازی‌های سنگین و approval های زیاد هستند.

## مثال‌های روش‌های Bureaucratic:

اWaterfall سنتی:
- باید 50 صفحه requirement document بنویسی

- هر تغییر باید از 5 نفر approval بگیره

- مراحل سخت:
Analysis → Design → Code → Test → Deploy

- نمی‌تونی به مرحله بعد بری تا قبلی تایید نشه

اEnterprise Development:
- برای هر API باید UML diagram بکشی
- کمیته‌های بررسی کد
- فرم‌های متعدد برای هر تغییر
ا- Meeting برای meeting گذاشتن!

## مقایسه:

اBureaucratic (سنگین):

کار کوچیک → 3 جلسه → 2 approval → مستندسازی → کدنویسی

اRequirement Driven Vibe (سبک):

Requirement مشخص → مستقیم شروع کدنویسی

## مشکلات Bureaucracy:

- کندی: هر کار ساعت‌ها اضافه وقت می‌خواد
- انعطاف‌ناپذیری: نمی‌تونی سریع تغییر بدی
ا- Overhead: زمان زیادی صرف کاغذبازی میشه
- خلاقیت کُش: برنامه‌نویس توی قوانین گیر می‌کنه

اRequirement Driven Vibe دقیقاً برای همین جذابه - planning محکم داره ولی execution رو آزاد می‌ذاره و توی جزئیات گیر نمی‌ده!

🔵 عنوان مقاله
CBI Shuts Down £390K U.K. Tech Support Scam, Arrests Key Operatives in Noida Call Center (2 minute read)

🟢 خلاصه مقاله:
پلیس بین‌المللی هند (CBI) با اجرای عملیات چاکرا پنجم، یک سندیکای کلاهبرداری فناوری بین‌المللی را که شهروندان بریتانیا و استرالیا را هدف قرار داده بود، منحل کرد. این کلاهبرداران از طریق یک مرکز تماس جعلی به نام FirstIdea، که در سه مکان در نوئیدا فعالیت داشت، اقدام به فریب مردم می‌کردند. آنها خود را به عنوان کارکنان پشتیبانی مایکروسافت جا زده و ادعا می‌کردند که دستگاه‌های قربانیان آلوده به ویروس شده‌اند تا آنها را به پرداخت هزینه‌های جعلی ترغیب کنند. در این عملیات، دو مظنون دستگیر و بیش از ۳۹۰,۰۰۰ پوند خسارت به دست آمده توسط این کلاهبرداری‌ها شناسایی شد. این دستگیری‌ها نشان‌دهنده تلاش‌های بین‌المللی برای مقابله با جرائم سایبری و حمایت از قربانیان این نوع کلاهبرداری‌ها است.

🟣لینک مقاله:
https://thehackernews.com/2025/07/cbi-shuts-down-390k-uk-tech-support.html?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

اصطلاح requirement driven vibe coding چیست؟

https://t.iss.one/Software_Labdon/599?single

مزیت استفاده از این روش چیست؟

https://t.iss.one/Software_Labdon/601

مفهوم feature creep یا scope creep چیست؟

https://t.iss.one/Software_Labdon/602

مفهوم bureaucratic در توسعه نرم افزار چیست؟

https://t.iss.one/Software_Labdon/603

➖➖➖➖➖➖➖➖
https://t.iss.one/addlist/QtXiQlynEJwzODBk

🔵 عنوان مقاله
Man Gets Suspended Sentence for Hate-Fueled UK Train Stations WiFi Hack (2 minute read)

🟢 خلاصه مقاله:
در یک حادثه در انگلیس، فردی با هک کردن WiFi یک ایستگاه قطار، پیام‌های نفرت‌انگیزی درباره اسلام نمایش داد. پس از شناسایی، این فرد توسط پلیس دستگیر شد. در دادگاه، به او حکم زندان با تعلیق، انجام خدمات عمومی و شرکت در برنامه‌های توان‌بخشی داده شد. این اقدام نه تنها نشان‌دهنده توانایی‌های فنی مجرم برای نفوذ به سیستم‌های ارتباطی مهم است، بلکه بار دیگر مسئله استفاده از تکنولوژی برای اشاعه نفرت و تبعیض را در جامعه مطرح می‌کند. اهمیت پایش و امنیت در ارتباطات شبکه‌ای و در رفتارهای فردی و جمعی در فضای مجازی بیش از پیش آشکار شده است. این مورد نمونه‌ای از چالش‌های موجود در مدیریت و کنترل دسترسی به سیستم‌های عمومی و خصوصی در عصر دیجیتال است.

🟣لینک مقاله:
https://hackread.com/man-suspended-sentence-hate-uk-train-stations-wifi-hack/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
UK Pet Owners Targeted by Fake Microchip Renewal Scams (3 minute read)

🟢 خلاصه مقاله:
مقاله‌ای که مورد بحث قرار گرفته، به بررسی یک شیوه کلاهبرداری جدید در بریتانیا می‌پردازد که در آن کلاهبرداران از صاحبان حیوانات خانگی سوء استفاده می‌کنند. کلاهبرداران با استفاده از ایمیل‌های جعلی که به ظاهر برای تمدید میکروچیپ حیوان خانگی ارسال شده، از صاحبان حیوانات خانگی درخواست پرداخت هزینه‌های فریبنده می‌کنند. این ایمیل‌ها با استفاده از اطلاعات واقعی حیوانات که از پایگاه‌های داده ناامن سرقت شده، تنظیم شده‌اند. این شیوه از کلاهبرداری نه تنها بر روی احساسات صاحبان حیوانات خانگی بازی می‌کند، بلکه نشان دهنده خطرات امنیتی مرتبط با نگهداری اطلاعات در پایگاه‌های داده‌ای است که به درستی محافظت نمی‌شوند. این مسئله تأکید می‌کند بر اهمیت ارتقاء امنیت داده‌ها و آگاه سازی عموم مردم در رابطه با انواع کلاهبرداری‌های مدرن.

🟣لینک مقاله:
https://hackread.com/uk-pet-owners-targeted-fake-microchip-renewal-scams/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
The FIPS 140-3 Go Cryptographic Module (6 minute read)

🟢 خلاصه مقاله:
گو، زبان برنامه‌نویسی، از نسخه ۱.۲۴ پشتیبانی بومی از استاندارد FIPS ۱۴۰-۳ را در کتابخانه استاندارد و دستور `go` خود معرفی کرده است. توسعه‌دهندگان می‌توانند با تنظیم گزینه GODEBUG `fips140=on` (از طریق متغیر محیطی یا در go.mod)، حالت FIPS ۱۴۰-۳ را فعال سازند و با استفاده از دستور `GOFIPS140=v1.0.0 go build`، نسبت به ساختن برنامه‌های خود با استفاده از ماژول‌های رمزنگاری تأییدشده اقدام کنند. این تلفیق بومی، نیاز به راه‌حل‌های غیر مورد پشتیبانی طرف سوم را از بین برده و تجربه‌ای بی‌درز برای توسعه‌دهندگان با پشتیبانی از کراس‌کامپایل و بدون افت کارایی ناشی از رابط‌های تابع خارجی فراهم می‌کند.

🟣لینک مقاله:
https://go.dev/blog/fips140?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Popular Fitness App Fitify Exposes 138K User Progress Photos (3 minute read)

🟢 خلاصه مقاله:
مقاله‌ای که مورد بررسی قرار گرفته، به گزارشی درباره‌ی نقض امنیتی در اپلیکیشن محبوب Fitify می‌پردازد. بر اساس این گزارش، Fitify بیش از 373,000 فایل را شامل 138,000 عکس پیشرفت کاربران در یک سطل ذخیره‌سازی بدون امنیت در Google Cloud فاش کرده است. بسیاری از این عکس‌ها کاربران را در لباس‌های مختصر نشان می‌دهد، که این امر حساسیت موضوع را افزایش می‌دهد. علاوه بر این، دسترسی به داده‌های خصوصی بدون نیاز به گذرواژه یا کلیدهای امنیتی امکان‌پذیر بوده و در برنامه کدهایی ثابت شده که می‌توانسته به مهاجمان اجازه دهد به اطلاعات بیشتر کاربر دسترسی پیدا کنند. این خطاهای امنیتی نشان‌دهنده‌ی اهمیت اجرای اقدامات امنیتی مناسب و نظارت مستمر بر زیرساخت‌های ذخیره‌سازی داده‌هاست.

🟣لینک مقاله:
https://cybernews.com/security/fitify-app-data-leak-user-photos-exposed/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

جزئیات تیم فوق‌هوش مصنوعی متا (فیسبوک) فاش شده !
تیمی که متا برای توسعه هوش مصنوعی فوق‌پیشرفته خود تشکیل داده، شامل ۴۴ نفر است که:
۵۰٪ از چین هستند،
۷۵٪ دارای مدرک دکتری (PhD) هستند و ۷۰٪ محقق‌اند،
۴۰٪ از OpenAI، ۲۰٪ از DeepMind و ۱۵٪ از Scale جذب شده‌اند،
۲۰٪ در سطح L8+ (سطح بالای شغلی) فعالیت می‌کنند،
۷۵٪ مهاجران نسل اول هستند.
هر یک از این افراد احتمالاً سالانه بین ۱۰ تا ۱۰۰ میلیون دلار حقوق دریافت می‌کنند!
هرچی top اینجاس
فقط سابقه هاشون رو نگاه کنید
یکشون 37 سال سابقه کار داره YoE
به احتمال زیاد از 14 سالگی کد میزنه
➖➖➖➖➖➖➖➖
https://t.iss.one/addlist/QtXiQlynEJwzODBk

🔵 عنوان مقاله
McDonald's Chatbot Recruitment Platform Exposed 64 Million Job Applications (2 minute read)

🟢 خلاصه مقاله:
بستر استخدامی McHire متعلق به شرکت مک‌دونالد به دلیل استفاده از اطلاعات احراز هویت پیش‌فرض و یک API ناامن، منجر به افشای داده‌های شخصی بیش از ۶۴ میلیون متقاضی کار شد. این بستر که به عنوان یک رابط چت برای فرآیند استخدام به کار می‌رود، اطلاعات شخصی از قبیل نام‌ها، آدرس‌ها، شماره‌های تلفن و پیام‌های چت متقاضیان را در معرض دسترسی قرار داده بود. پژوهشگران امنیتی توانستند به تمامی این اطلاعات دسترسی پیدا کنند. این حادثه نشان‌دهنده ضعف‌های امنیتی عمده در سیستم استخدامی مک‌دونالد و نیاز مبرم به بهبود مدیریت امنیتی و رمزنگاری مناسب در استفاده از API‌ها و سیستم‌های مرتبط با داده‌ها است.


🟣لینک مقاله:
https://www.securityweek.com/mcdonalds-chatbot-recruitment-platform-leaked-64-million-job-applications/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
DoNot APT Hits European Ministry with New LoptikMod Malware (2 minute read)

🟢 خلاصه مقاله:
گروه پیشرفته و مداوم تهدید (APT) با پیوند به هند، معروف به DoNot، وزارت امور خارجه یک کشور اروپایی را هدف قرار داده است با استفاده از ایمیل‌های سرگرم‌کننده که به ظاهر از طرف مقامات دفاعی ارسال شده و حاوی لینک‌هایی به Google Drive برای تحویل بدافزار LoptikMod بودند؛ این اقدام نشان‌دهنده گسترش عملیات آن‌ها فراتر از تمرکز سنتی بر جنوب آسیا است. این استراتژی تهدید، که شامل تکنیک‌های فیشینگ می‌شود که از طریق آن‌ها افراد تحت فریب دریافت فایل‌های مخرب هدایت می‌شوند، نشان‌دهنده ترکیب پیچیده‌ای از تکنیک‌های سایبری است که از سوی این گروه به کار گرفته می‌شود تا به اهداف بلندمدت خود دست یابند. این فعالیت‌ها تاکید می‌کنند بر چگونگی افزایش دامنه جغرافیایی و تاکتیکی این نوع گروه‌های تهدید کننده در فضای سایبری.

🟣لینک مقاله:
https://hackread.com/donot-apt-hits-european-ministry-loptikmod-malware/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Cybersecurity (Anti)Patterns: Frictionware (17 minute read)

🟢 خلاصه مقاله:
مقاله‌ای که مورد بررسی قرار گرفته، به نقد و بررسی ابزارهای امنیتی موسوم به "Frictionware" می‌پردازد که باعث می‌شود تیم‌های امنیتی زمان زیادی را صرف به‌کارگیری این ابزارها کنند به جای اینکه بر روی تولید نتایج تمرکز کنند. این ابزارها دارای الگوهای نادرستی هستند، از جمله مراحل پیچیده در زمان بارگذاری، ارائه ارزش ضعیف و عدم تطبیق با ابزارهای موجود. راه‌حل‌هایی برای جلوگیری از استفاده از Frictionware پیشنهاد شده است که شامل اجتناب کامل از فرآیند به‌کارگیری، تمرکز بر تعبیه به جای انتخابی بودن، استفاده از توابع اجباری برای الزام به استفاده در مواقع ضروری و کار کردن در مراکز داده و توجه موجود می‌شوند. این رویکردها به تیم‌های امنیتی امکان می‌دهند تا به جای وقف دادن زمان گرانبها به فرایندهای فرسایشی، بر نتایج واقعی متمرکز شوند.

🟣لینک مقاله:
https://spaceraccoon.dev/cybersecurity-antipatterns-frictionware/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon