🔵 عنوان مقاله
The Salesloft-Drift Breach: Analyzing the Biggest SaaS Breach of 2025 (6 minute read)

🟢 خلاصه مقاله:
بزرگ‌ترین رخداد امنیتی SaaS در سال ۲۰۲۵ با سوءاستفاده از یکپارچگی Salesloft و Drift بیش از ۷۰۰ شرکت را تحت تأثیر قرار داد. مهاجمان با بهره‌گیری از توکن‌های OAuth و اتصال‌های SaaS-to-SaaS بدون نیاز به گذر از دفاع‌های سنتی، به‌صورت جانبی جابه‌جا شدند و به داده‌ها و مدارک حساس دسترسی یافتند. ماهیت زنجیره تأمین این حمله باعث شد یک رخنه، سریعاً به سرویس‌های پرکاربردی مانند Salesforce و Gmail سرایت کند و اثر آن چندبرابر شود. این رویداد نشان داد شناسایی و مهار سوءاستفاده‌های مبتنی بر توکن در محیط‌های چندسرویس‌دهنده دشوار است و نیازمند دیدپذیری و هماهنگی بین پلتفرم‌هاست. جمع‌بندی عملی: محدودسازی و بازبینی منظم دسترسی‌های OAuth، کوتاه‌کردن عمر توکن‌ها و ابطال دسترسی‌های بلااستفاده، پایش ترافیک اپلیکیشن-به-اپلیکیشن با ابزارهای SSPM و CASB، به‌کارگیری اصول Zero Trust برای یکپارچه‌سازی‌ها، و داشتن برنامه واکنش به رخداد ویژه compromise توکن‌ها.

#SaaS #OAuth #SupplyChainAttack #Salesloft #Drift #ZeroTrust #SSPM #CASB

🟣لینک مقاله:
https://www.reco.ai/blog/the-salesloft-drift-breach-analyzing-the-biggest-saas-breach-of-2025?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Fantastic AWS Policies and Where to Find Them (10 minute read)

🟢 خلاصه مقاله:
خدمات AWS مجموعه گسترده و گاهی گیج‌کننده‌ای از انواع سیاست‌های IAM ارائه می‌دهد؛ از principal policies متصل به کاربران، نقش‌ها و گروه‌ها تا resource policies کنار خودِ سرویس‌ها و داده‌ها، سازوکارهای اشتراک‌گذاری در AWS Resource Access Manager، resource control policies در سطح سازمان، و permission sets در IAM Identity Center. این مطلب با فهرست‌کردن و توضیح روشن هر دسته، محدوده کاربرد، محل اتصال و سناریوهای رایج را مقایسه می‌کند تا انتخاب میان آن‌ها ساده‌تر شود. همچنین ابزار جدیدی به نام iam-collect معرفی می‌شود که می‌تواند همه سیاست‌های IAM را از تمام حساب‌های یک سازمان گردآوری کند و برای تحلیل در اختیار بگذارد؛ علاوه بر آن، مجموعه‌ای از agent instructions برای خودکارسازی بررسی‌ها ارائه می‌کند. نتیجه، دیدی یکپارچه از سطح سیاست‌های AWS و روشی عملی برای موجودی‌گیری، ارزیابی ریسک، تشخیص ناهماهنگی و ممیزی است—همه در یک مطالعه ۱۰ دقیقه‌ای.

#AWS #IAM #CloudSecurity #AWSOrganizations #SecurityAutomation #PolicyManagement #iamcollect

🟣لینک مقاله:
https://iam.cloudcopilot.io/posts/fantastic-aws-policies-and-where-to-find-them?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Klopatra: exposing a new Android banking trojan operation with roots in Turkey (15 minute read)

🟢 خلاصه مقاله:
کلاپاترا یک تروجان بانکی جدید روی Android است که توسط مهاجمان ترک‌زبان اداره می‌شود و با اتکا به حفاظت تجاری Virbox و کتابخانه‌های کد بومی، شناسایی را دشوار می‌کند. این بدافزار با تظاهر به اپ‌های IPTV جعلی کاربران اسپانیا و ایتالیا را آلوده کرده و از Android Accessibility Services سوءاستفاده می‌کند تا کنترل کامل دستگاه را به دست بگیرد. برای سرقت مالی، هم از حملات Overlay روی اپ‌های بانکی استفاده می‌کند و هم با قابلیت Hidden VNC به مهاجم امکان کنترل نامرئی و انجام تراکنش‌ها—حتی هنگام خواب کاربر—را می‌دهد. تاکنون بیش از ۳۰۰۰ دستگاه آلوده گزارش شده است. این مورد روند رو به رشد تهدیدات موبایلی را نشان می‌دهد: محافظت حرفه‌ای، کد بومی و سواستفاده از Accessibility. توصیه می‌شود اپ‌ها فقط از منابع معتبر نصب شوند، مجوزهای Accessibility به‌دقت مدیریت شوند، Android به‌روز بماند، احراز هویت چندمرحله‌ای در بانک‌ها فعال شود و از راهکارهای امنیت موبایل استفاده گردد.

#AndroidMalware #BankingTrojan #Cybersecurity #MobileThreats #AccessibilityAbuse #HiddenVNC #Spain #Italy

🟣لینک مقاله:
https://www.cleafy.com/cleafy-labs/klopatra-exposing-a-new-android-banking-trojan-operation-with-roots-in-turkey?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

‏بلندتر کردن یا اضافه‌کردن کاراکتر ویژه کافی نیست — الگوها قابل حدس‌اند. هکرها با شناخت الگو و هوش‌مصنوعی حمله رو هدفمند می‌کنن. از password manager و تسترهای امن استفاده کن؛ هرگز رمز اصلی رو تو سایت‌های ناشناس وارد نکنید.

https://www.terrific.tools/online/password-strength-checker

| <Nimo/>

امین بشیری که مسیرش از استارتاپ‌هایی در ایران شروع شد و امروز در کمپانی تاکسی اینترنتی لیفت(Lyft) به‌عنوان Software Engineer فعالیت می‌کند.
امین از مسیر واقعی مهاجرت کاری، چالش‌های مصاحبه در شرکت‌های بزرگ، تجربه‌های شکست‌خورده و درس‌هایی گفت که هر برنامه‌نویس باید بشنود!
https://youtu.be/PH1qcACGRXw?si=B50eJ8adFDGL3QBC

<Name/>

اگه برنامه نویس هستید و از هوش مصنوعی برای کدنویسی استفاده می‌کنید، واقعاً به خودتون لطف می‌کنید که OpenSpec رو چک کنید. این ابزار به شما کمک می‌کنه کنترل کامل پروژه رو دست بگیرید و از AI به عنوان یک همکار قابل اعتماد استفاده کنید!

تا حالا با دستیارهای کدنویسی هوش مصنوعی (مثل Cursor یا Copilot) کار کردید و به جای چیزی که دقیقاً در ذهن داشتید، یک چیز کاملاً دیگه تحویل گرفتید؟ یا یک بخش رو نوشته و یک بخش دیگه رو براتون خراب کرده

من جدیدا ابزاری رو پیدا کردم به اسم OpenSpec که داره این بازی رو برای همیشه عوض می‌کنه.

ایده‌اش ساده و ناب هست: شما و هوش مصنوعی، قبل از نوشتن حتی یک خط کد، روی «چیزی که باید ساخته بشه» به توافق کامل می‌رسید.

دیگه خبری از پرامپت‌های مبهم در چت و خروجی‌های غیرقابل پیش‌بینی نیست. OpenSpec یک فرآیند کاری سبک و قدرتمند اضافه می‌کنه که پروژه‌ها رو اینطوری پیش می‌بره:

۱. پیشنهاد تغییر (Change Proposal): شما به AI می‌گید چه قابلیتی رو می‌خواید اضافه کنید. AI یک ساختار کامل از مشخصات، وظایف و پیشنهادها رو براتون می‌سازه.

۲. بازبینی و هماهنگی: شما و AI با هم مشخصات رو دقیق می‌کنید تا همه چیز شفاف و بدون ابهام باشه.

۳. پیاده‌سازی: AI بر اساس مشخصات نهایی و توافق شده، کدنویسی رو انجام می‌ده.

۴. آرشیو: بعد از اتمام کار، تغییرات به آرشیو منتقل می‌شن و مشخصات اصلی پروژه رو به‌روز می‌کنن.

چرا این ابزار به خوبی جواب میده 
- بدون نیاز به کلید API: نصب کن و استفاده کن. ساده و سریع.
- با ابزارهای فعلی شما کار می‌کنه: با Claude Code, Cursor, GitHub Copilot, Windsurf و ده‌ها ابزار دیگه یکپارچه می‌شه.
- قابل پیش‌بینی و شفاف: دیگه نمی‌خواد حدس بزنید AI چی می‌سازه. همه چیز از قبل مشخصه.
- عالی برای پروژه‌های موجود: نه فقط برای پروژه‌های جدید، بلکه برای تغییر و توسعه کدهای قدیمی هم عالیه.
- مستندسازی خودکار: هر تغییری با مشخصات و وظایفش ثبت می‌شه و یک سند زنده از پروژه می‌سازه.

اینم آدرس گیتهابش که همه چیز اماده یک جا هست!
https://github.com/Fission-AI/OpenSpec

اگر نتونستنید دستی نصبش کنید ، میتونید فایل README[.]md رو کپی کنید ، بدید به همون ابزار Ai که براتون کد میزنه مثل Claude Code, Cursor, GitHub Copilot ، بگید نصبش کن!

<POURYA/>

بالاخره Zed برای ویندوز منتشر شد!
یه ادیتور فوق‌العاده سریع و خفن که به نظرم می‌تونه حسابی جای Visual Studio Code رو تنگ کنه.
من حدود ۸ ساله کدنویسی می‌کنم و از Eclipse و NetBeans گرفته تا JetBrains، همه رو امتحان کردم. از وقتی VsCode اومد، دیگه اون وسواس انتخاب ادیتور رو گذاشتم کنار تا وقتی که اسم Zed رو شنیدم.
یه ادیتور نوشته‌شده با Rust و سرعتی در حد گاد
اول فقط برای مک بود، بعد رسید به لینوکس. منم که عشق به اوبونتو، سریع یه ماشین مجازی بالا آوردم و تستش کردم.
یه پروژه نسبتا سنگین داشتم، ریا نشه یه پلتفرم انبارداری با چت و مدیریت کارمندان و محصولات. با Zed رانش کردم و همون‌جا بود که برگای VsCodeم ریخت
سرعت، autocomplete محشر، لود سریع اکستنشن‌ها، محیط مینیمال و مدرن و خلاصه یه تجربه بی‌نقص بود. و حالا برای ویندوز هم ریلیز شد
اگه هنوز امتحانش نکردی، پیشنهاد میکنم حتما تستش کنی

https://zed.dev/

<Soheil Ghanbary/>

🔵 عنوان مقاله
The Testing Skyscraper: A Modern Alternative to the Testing Pyramid

🟢 خلاصه مقاله:
Andrew Knight مدل سنتی Testing Pyramid را ناکافی می‌داند و به‌جای آن رویکرد منعطف‌تری به نام Testing Skyscraper پیشنهاد می‌کند. در این مدل، به‌جای نسبت‌های ثابت بین لایه‌های تست، «طبقات» متناسب با ریسک‌ها و نیازهای سیستم شکل می‌گیرند؛ مثلا ممکن است یک سیستم به طبقه پررنگ‌تری از contract testing، یا عملکرد و تاب‌آوری، یا سناریوهای end-to-end نیاز داشته باشد. این رویکرد بر تناسب پوشش با معماری و اهداف محصول، بازخورد سریع، و ارزش‌سنجی بر اساس کاهش ریسک و افزایش اطمینان تأکید دارد، نه شمارش تست‌ها. در عمل، ترکیبی از unit، integration، contract، end-to-end، تست‌های غیرعملکردی (کارایی، امنیت، دسترس‌پذیری)، و حتی observability و synthetic monitoring به‌عنوان طبقات مستقل در نظر گرفته می‌شوند و با تغییر سیستم، به‌صورت پویا تقویت، بازچینی یا حذف می‌گردند.

#SoftwareTesting #TestingPyramid #TestingSkyscraper #QualityEngineering #DevOps #Automation #RiskBasedTesting #TestStrategy

🟣لینک مقاله:
https://cur.at/W2rklZc?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Capita fined £14M after 58-hour delay exposed 6.6M records (2 minute read)

🟢 خلاصه مقاله:
کاپیتا در سال 2023 هدف یک حمله سایبری قرار گرفت که داده‌های 6.6 میلیون نفر را افشا کرد و به دلیل تأخیر 58 ساعته در پاسخ و نقص‌های جدی امنیتی که صدها سازمان را تحت‌تأثیر گذاشت، با جریمه‌ای به مبلغ £14 میلیون مواجه شد. این پرونده بر اهمیت واکنش سریع، کنترل‌های پایه‌ای قوی، پایش مداوم، و مدیریت ریسک زنجیره تأمین تأکید می‌کند تا دامنه آسیب در رویدادهای مشابه کاهش یابد.

#Cybersecurity #DataBreach #IncidentResponse #Compliance #Privacy #Capita #InfoSec #Regulation

🟣لینک مقاله:
https://www.theregister.com/2025/10/15/ico_fines_capita_14m/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Web Accessibility Testing — Are We There Yet?

🟢 خلاصه مقاله:
**با اجرای European Accessibility Act، آزمون‌های دسترس‌پذیری از یک گزینه جانبی به یک ضرورت قانونی و اخلاقی تبدیل شده‌اند. مقاله می‌گوید با وجود پیشرفت‌ها، وضعیت هنوز مطلوب نیست: ابزارهای خودکار فقط بخشی از مشکلات را می‌یابند و بسیاری از موانع در استفاده واقعی و با فناوری‌های کمکی آشکار می‌شوند. راهکار، ترکیب آزمون خودکار و دستی، مشارکت کاربران دارای معلولیت، و ادغام دسترس‌پذیری در طراحی، توسعه، CI/CD و حاکمیت کیفیت است. پیام نهایی: دسترس‌پذیری باید یک فرایند مستمر و مشترک باشد تا هم ریسک را کاهش دهد و هم تجربه‌ای فراگیرتر ایجاد کند.

#Accessibility #A11y #EuropeanAccessibilityAct #WCAG #InclusiveDesign #Testing #QA #DevOps

🟣لینک مقاله:
https://cur.at/fU9ymSF?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

یک هشدار به همه کسانی که مصاحبه شغلی دارند که کد review هم دارد!
نویسنده از تجربه‌ای را بازگو می کند که با ایجاد فشار روانی بر وی، او را متقاعد کرده بودن که کدهای آلوده nodejs را روی سیستم برای review اجرا کند که در آخرین لحظه شک کرده و ماجرا کشف می شود.

https://blog.daviddodda.com/how-i-almost-got-hacked-by-a-job-interview

<VAHID NAMENI/>

دارم پادکست پاول دوروف مال تلگرام رو میبینم

نکته جالبش اینجا اگر برادر نابغش نبود هیچ وقت تلگرامی وجود نداشت

نکته دیگه اینه اگر دقت کرده باشید پاول برعکس مارک زاکربرگ ، ایلان ماسک و . . .

زندگی خیلی لاکچری داره ولی ایلان و زاکربرگ همیشه ساده پوشن و خیلی زنی بی آلایشی از خودشون نشون میدن

حتی مارک و ایلان نهایتا ۶ تا ۸  ساعت میخوابن و پاول ۱۲ ساعت

دلیلش از نظر من خیلی جالبه

ایلان و زاکربرگ تمام سهام شرکتشون برای خودشون نیست! سرمایه گذار های بزرگی پشتشونه و هروقت بیان خودشون رو اینطور نشون بدن قطعابا فشار زیادی مواجه میشن

ولی پاول مالک خودش هست و برادرش و کلا ۴۰ برنامه نویس

هیچ وقت هم جواب به کسی نمیده

نکات خیلی زیادی داره این شخص پیشنهاد میکنم حتما درموردش مطالعه کنید

https://www.youtube.com/watch?v=qjPH9njnaVU

🔵 عنوان مقاله
Finally: Unit Testing for LLMs That Doesn't Require a PhD or $100K Budget

🟢 خلاصه مقاله:
** دکتر Ernesto Lee نشان می‌دهد برای ساخت اپلیکیشن‌های مبتنی بر LLM لازم نیست PhD یا بودجه‌های بسیار بزرگ داشته باشید تا تست خودکار جدی و مؤثر پیاده کنید. ایده اصلی این است که هر prompt، chain و فراخوانی ابزار را مثل یک واحد مستقل با مشخصات روشن ببینید و برای آن‌ها تست بنویسید: از اعتبارسنجی ساختار خروجی (مثلاً JSON Schema) و الزامات فیلدها، تا چک‌های ایمنی/سیاست و نمونه‌های طلایی دامنه‌ای. با snapshot test، داده‌های نمونه کم‌حجم اما پوشش‌دهنده لبه‌ها، و mock/stub برای وابستگی‌های خارجی، تست‌ها سریع، ارزان و قابل تکرار می‌مانند.

برای کنترل هزینه و نوسان، می‌توان پاسخ‌ها را cache کرد، بیشتر تست‌ها را با temperature=0 اجرا نمود، محدودیت توکن گذاشت، و مجموعه تست‌های «سریع» را از ارزیابی‌های «سنگین‌تر» دوره‌ای جدا کرد. نسخه‌دهی به promptها و داده‌های طلایی، گزارش‌کردن معیارها و اتصال این چرخه به CI باعث می‌شود هر تغییر کد یا prompt فوراً ارزیابی شود و رگرسیون‌ها دیده شوند. در صورت شکست تست، سریع مشخص کنید مشکل از تغییر prompt است، drift مدل بالادستی یا وابستگی ابزار، و همان یادگیری را به تست‌ها برگردانید.

نتیجه این رویکرد، چرخه توسعه سریع‌تر با اطمینان بیشتر و هزینه کنترل‌شده است. پیام Lee روشن است: Unit Testing عملی و مقیاس‌پذیر برای LLMها در دسترس همه تیم‌هاست، نه فقط تیم‌های بزرگ.

#LLM
#UnitTesting
#AIEngineering
#TestingAutomation
#MLOps
#PromptEngineering
#ContinuousIntegration
#QualityAssurance

🟣لینک مقاله:
https://cur.at/YHqFc9m?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
What's new in JUnit 6: Key Changes and Improvements

🟢 خلاصه مقاله:
JUnit 6 منتشر شده و پس از سال‌ها نخستین نسخهٔ عمدهٔ این چارچوب است. این نسخه با تمرکز بر شفافیت و انعطاف‌پذیری، بهبود چرخهٔ اجرای تست، قدرت بیشتر در توسعه‌پذیری، اجرای موازی کارآمدتر، و یکپارچگی عمیق‌تر با IDEها و محیط‌های CI ارائه می‌شود. مسیر مهاجرت برای تیم‌های روی JUnit 4 و JUnit 5 هم با راهنمایی و ملاحظات سازگاری پوشش داده شده است. در این معرفی، Vladimir Dmitrienko نکات کلیدی و کاربردی را به‌همراه نمونه‌ها و بهترین‌روش‌ها توضیح می‌دهد.

#JUnit6 #JUnit #Java #UnitTesting #SoftwareTesting #TestAutomation #DevTools

🟣لینک مقاله:
https://cur.at/HGYIcvY?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
How Playwright Runs Workers and Test Fixtures (Parallel vs Serial vs Default)!

🟢 خلاصه مقاله:
این مقاله از Thananjayan Rajasekaran به‌صورت عملی نشان می‌دهد Playwright Test چگونه workers و test fixtures را مدیریت می‌کند و تفاوت حالت‌های default، parallel و serial چیست. ابتدا توضیح می‌دهد که به‌طور پیش‌فرض فایل‌های تست روی چند worker به‌صورت موازی اجرا می‌شوند اما تست‌های داخل هر فایل به‌صورت ترتیبی اجرا می‌گردند؛ همچنین به تعامل retries، projects و گزینه‌هایی مانند --workers و sharding برای کنترل سرعت و پایداری اشاره می‌کند. سپس روش‌های افزایش همزمانی را بررسی می‌کند: فعال‌کردن fullyParallel در تنظیمات یا استفاده از test.describe.configure({ mode: 'parallel' }) برای موازی‌سازی بخشی از تست‌ها، همراه با هشدار درباره ریسک‌های وضعیت مشترک و flaky شدن. در بخش serial، با test.describe.serial یا تنظیم mode: 'serial' می‌توان اجرای ترتیبی و توقف زنجیره پس از شکست را تضمین کرد؛ راهکاری که برای گردش‌کارهای وابسته یا منابع غیرقابل‌اشتراک میان workers مفید است، هرچند توصیه می‌شود فقط در صورت نیاز استفاده شود. بخش مهم دیگر به fixtures می‌پردازد: تفاوت بین per-test و worker-scoped و تأثیر مستقیم آن‌ها بر موازی‌سازی؛ اینکه worker-scoped بین workers به‌اشتراک گذاشته نمی‌شود و ممکن است چند نمونه مستقل از یک منبع ایجاد شود. مقاله با نمونه‌کدهای روشن برای تنظیم workers، فعال‌سازی fullyParallel، علامت‌گذاری suiteها به‌صورت serial یا parallel و ترکیب آن‌ها با projects و retries، یک الگوی ذهنی شفاف برای انتخاب بهینه بین default، parallel و serial ارائه می‌دهد تا هم سرعت اجرا بالا برود و هم پایداری CI حفظ شود.

#Playwright #Testing #E2E #ParallelTesting #TestAutomation #JavaScript #Fixtures #CI

🟣لینک مقاله:
https://cur.at/93wY1jL?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
The Industry's First Real AI SOC Benchmark Study (Sponsor)

🟢 خلاصه مقاله:
این مطالعه توسط Cloud Security Alliance با همکاری Dropzone AI برای نخستین‌بار عملکرد واقعی AI در محیط‌های SOC را بنچمارک می‌کند. به‌جای آزمایش‌های آزمایشگاهی، رفتار تحلیل‌گران واقعی روی هشدارهای واقعی بررسی شده تا اثر واقعی کمک‌های AI بر جریان کار و تصمیم‌گیری روشن شود. این پژوهش مستقل و بدون ملاحظات تبلیغاتی، داده‌های قابل اتکایی فراهم می‌کند تا هیئت‌مدیره و رهبران امنیت درباره سرمایه‌گذاری در AI تصمیم‌های آگاهانه بگیرند. برای جزئیات روش‌شناسی، نتایج کلیدی و توصیه‌های اجرایی، مطالعه را دانلود کنید.

#SOC #AI #Cybersecurity #SecurityOperations #Benchmark #CloudSecurity #AIAssistance #Infosec

🟣لینک مقاله:
https://www.dropzone.ai/ai-soc-benchmark-study?utm_campaign=25529265-%5BDigital%20Sponsorship%5D%20TLDR%20InfoSec%20Newsletter%20Secondary%2010-16-25&utm_source=sponosorship&utm_medium=newsletter&utm_content=CSA%20benchmark%20study

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
‘You'll Never Need to Work Again': Criminals Offer Reporter Money to Hack BBC (3 minute read)

🟢 خلاصه مقاله:
** یک خبرنگار BBC در Signal توسط فردی که خود را «reach out manager» گروه باج‌افزاری Medusa معرفی می‌کرد، ترغیب شد که در ازای دسترسی به دستگاه سازمانی‌اش، ۲۵٪ از باج را دریافت کند. خبرنگار برای جمع‌آوری اطلاعات، گفتگو را ادامه داد و شاهد افزایش فشار و تاکتیک‌های مهندسی اجتماعی شد. وقتی اقناع جواب نداد، مهاجم با ارسال مکرر درخواست‌های 2FA (MFA fatigue) تلاش کرد دسترسی بگیرد. پیش از آن‌که خبرنگار تیم امنیت BBC را مطلع کند، سیل درخواست‌ها باعث شد دستگاه به‌عنوان اقدام حفاظتی از شبکه جدا/ایزوله شود. این ماجرا نشان می‌دهد چگونه باج‌افزارها با ترکیب تطمیع مالی، فشار روانی و حملات احراز هویت، به‌دنبال نفوذ از طریق افراد داخل سازمان هستند.

#Ransomware #Medusa #BBC #Cybersecurity #SocialEngineering #2FA #MFAFatigue

🟣لینک مقاله:
https://www.bbc.com/news/articles/c3w5n903447o?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

#دراز_نیوز

بیش از ١۴ هزار وب‌سایت وردپرسی هک شدند و بدافزار منتشر کردند

وردپرس یکی از محبوب‌ترین سیستم‌های مدیریت محتوا در اینترنت است و بیش از ۴٣ درصد از تمام وب‌سایت‌ها بر پایه وردپرس اجرا می‌شوند. همین موضوع باعث شده تا حملات سایبری به آن بسیار نگران‌کننده باشند و حالا گزارشی درباره هک‌شدن بیش از ١۴ هزار وب‌سایت وردپرسی منتشر شده که در آن هکرها از تکنیک جدیدی استفاده کرده‌اند.

طبق گزارش جدیدی از بخش امنیت گوگل، هکرهایی با نام رمز UNC5142 با موفقیت وارد وب‌سایت‌های وردپرسی شده و با استفاده از روشی کاملاً جدید، بدافزاری را در سطح وب پخش کرده‌اند. این گروه معمولاً وب‌سایت‌هایی را هدف قرار می‌دهد که از قالب‌ها، افزونه‌ها یا پایگاه‌داده‌های آسیب‌پذیر وردپرس استفاده می‌کردند.

وب‌سایت‌های هدف، با نوعی دانلودر جاوااسکریپتی چندمرحله‌ای به نام CLEARSHORT آلوده شده‌اند که وظیفه توزیع بدافزار را برعهده داشته است. سپس این گروه از تکنیک جدیدی به نام EtherHiding استفاده کرده که توسط CLEARSHORT فعال می‌شود.

♨️ اسپاتیفای در حال تست قابلیتی برای استخراج DNA آهنگ!

▪️با این ویژگی قراره بفهمید چه کسانی پشت هر آهنگ بودن ، از ترانه‌سرا و تهیه‌کننده گرفته تا نوازنده‌ها. یعنی اگه مثلاً آهنگ جدید Taylor Swift رو دوست داری و تهیه‌کننده‌ش Max Martin باشه، اسپاتیفای ، آهنگ‌های دیگه‌ای از مکس مارتین رو بهت پیشنهاد میده!

+ این یعنی یه لایه‌ی تازه از پیشنهاد موزیک: نه فقط بر اساس «چی گوش دادی»، بلکه بر اساس «کی اون آهنگ رو ساخته».

🔵 عنوان مقاله
SetupHijack (GitHub Repo)

🟢 خلاصه مقاله:
** ابزار SetupHijack در GitHub برای شناسایی ضعف‌های امنیتی در روند نصب و به‌روزرسانی Windows طراحی شده است. این پروژه نشان می‌دهد چگونه خطاهای شرط رقابتی و رسیدگی ناایمن به فایل‌ها در فرایندهایی که با دسترسی بالاتر اجرا می‌شوند، می‌تواند به اجرای کد یا ارتقای سطح دسترسی منجر شود. این ابزار با رصد رفتار نصب/آپدیت و برجسته‌کردن الگوهای پرخطر (مثل مجوزهای نادرست روی مسیرهای موقت، عملیات غیراَتُمیک فایل و تکیه بر مسیرهای قابل‌نوشتن برای همه)، به پژوهشگران و تیم‌های امنیتی کمک می‌کند مشکل را در محیط کنترل‌شده بازتولید کرده و برای رفع آن اقدام کنند. استفاده از SetupHijack باید صرفاً برای تست مجاز و اخلاقی باشد. راهکارهای کاهش خطر شامل رعایت اصول Windows Installer، اعمال ACL سخت‌گیرانه، استفاده از عملیات فایل اَتُمیک و مسیرهای موقت امن، کاهش سطح دسترسی در اسرع وقت، اعتبارسنجی امضاهای دیجیتال در زمان استفاده، بهره‌گیری از چارچوب‌های به‌روزرسانی امن و پیاده‌سازی پایش و سیاست‌های کنترل اجرای برنامه است.

#WindowsSecurity #InstallerSecurity #RaceCondition #PrivilegeEscalation #SetupHijack #AppSec #SecureUpdates #BlueTeam

🟣لینک مقاله:
https://github.com/hackerhouse-opensource/SetupHijack?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

تا حالا اسم Server-Driven UI یا همون SDUI رو شنیدی؟

توی مدل معمولی ساخت اپ (Client-Driven UI)، همه‌چی از طراحی صفحه تا منطق رابط کاربری داخل خود اپ نوشته میشه.
یعنی حتی برای یه تغییر کوچیک تو رنگ، متن یا چیدمان، باید اپ رو دوباره بیلد کنی، منتشرش کنی و صبر کنی تا کاربر آپدیت کنه

اما SDUI یه نگاه جدید به این موضوع داره
توی این مدل، UI از سمت سرور تعریف میشه و اپ فقط اون داده‌ها رو می‌گیره و رندر می‌کنه.
نتیجه؟ می‌تونی ظاهر اپ رو از راه دور و بدون نیاز به آپدیت کاربر تغییر بدی!

برای ما فلاتر‌کارها هم یه پکیج خیلی کاربردی توی این حوزه ساخته شده به اسم Stac (قبلاً با نام Mirai شناخته می‌شد).

پکیج Stac یه فریم‌ورک SDUI مخصوص فلاتره که اجازه میده UI رو به صورت JSON از سرور بفرستی و اپ اون رو مثل ویجت‌های فلاتر رندر کنه.

چند تا مزیت مهمش:
- تغییر سریع UI بدون انتشار نسخه جدید
- شخصی‌سازی برای هر کاربر
- تست A/B راحت‌تر
- انعطاف بالا برای تیم‌های چابک (Agile)

اگه دنبال راهی هستی که اپ فلاترت رو پویا، سبک و قابل‌به‌روزرسانی از سرور بسازی،
پیشنهاد می‌کنم یه سر به Stac بزنی
معرفی در Medium
https://medium.com/stac/introducing-mirai-a-server-driven-ui-framework-for-flutter-d020fd0c387d

<Aria Ramin/>