🔴 چندین پکیج npm مربوط به CrowdStrike که توسط حساب crowdstrike-publisher در npm منتشر شده بود، آلوده شدن.

این موضوع به نظر میرسه ادامه‌ ی کمپین مخرب زنجیره تأمین با عنوان Shai-Halud attack هستش که قبلا پکیج tinycolor و بیش از ۴۰ پکیج دیگه رو آلوده کرده بود.

بدافزار بکار رفته مشابه همون کمپین قبلیه و شامل یک اسکریپت bundle.js هستش که کارهای زیر رو انجام میده:

- دانلود و اجرای TruffleHog (یک ابزار قانونی برای اسکن اطلاعات حساس و کلیدها - افزونه)
- جستجوی سیستم میزبان برای یافتن توکن ‌ها و اعتبارنامه ‌های ابری
- اعتبارسنجی کلیدهای توسعه ‌دهندگان و CI کشف ‌شده
- ایجاد workflowهای غیرمجاز GitHub Actions درون مخازن (برای پرسیست)
- استخراج و ارسال داده‌های حساس به یک وب‌هوک (webhook) هاردکد شده

پکیج‌های آلوده به سرعت توسط رجیستری npm حذف شدن.

همچنین بدافزار یک فایل workflow با نام shai-hulud.yaml داره که اشاره‌ به کرم ‌های شنی در رمان Dune داره. اگرچه این ارجاع منحصربه‌فرد نیست، اما وجود اون نشون میده که مهاجم عمداً این کمپین رو با نام Shai-Hulud برندگذاری کرده.

پکیجهای تحت تاثیر:

@crowdstrike/[email protected]
@crowdstrike/[email protected]
@crowdstrike/[email protected]
@crowdstrike/[email protected]
@crowdstrike/[email protected]
@crowdstrike/[email protected]
@crowdstrike/[email protected]
@crowdstrike/[email protected]
@crowdstrike/[email protected]
@crowdstrike/[email protected]
@crowdstrike/[email protected]
@crowdstrike/[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

شرکت CrowdStrike اعلام کرده: پس از شناسایی چندین پکیج آلوده در رجیستری عمومی NPM، اونارو حذف کرده و کلیدهاشون رو در رجیستری ‌های عمومی تغییر دادن. این پکیجها در Falcon Sensor استفاده نمیشن بنابراین این پلتفرم تحت تأثیر قرار نگرفته و مشتریان همچنان محافظت میشن. همچنان در حال همکاری با NPM و انجام یک بررسی جامع هستن.

#حملات_زنجیره_تامین
#CrowdStrike #NPM #SupplyShainAttack #ShaiHaludAttack

🆔 @onhex_ir
➡️ ALL Link

#Rafael #Puzzle AI-Based #Intelligence Suite
سامانه PUZZLE که بر مبنای هوش مصنوعی کار میکند، در فرایند ایجاد اشراف اطلاعاتی کشور جعلی اسرائیل، نقش موثری را بازی کرده است.

این سامانه بواسطه جمع آوری اطلاعات از شبکه های سیگنال/رادیویی (SIGINT) و همچنین از طریق اطلاعات بصری/مکانی ماهواره ای (IMINT) و همچنین جمع آوری اطلاعات منبع باز (OSINT) ورودی های داده ای خود را تضمین میکند.

اطلاعات بواسطه حسگرها از منابع ای که بالا مطرح شد تامین میشود، این حسگرها شام پهپاد، ماهواره، دوربین تصویری، منابع سیگنال/رادیویی، الکترونیکی و سایبری تامین میشود.

در ادامه مؤلفه SIGNAL.AI اقدام به تحلیل داده های سیگنالی کرده و با بررسی فرکانس موقعیت فرستنده ها و نوع فرکانس را مشخص میکند.

مؤلفه TARGETS از داده های دریافتی استفاده کرده تا اهداف قابل دسترس را مبتنی بر اولویت های تعیین شده و هزینه و زمان اعمال حمله بررسی و پیشنهاد میدهد.

مؤلفه FORCE درخواست های حمله یا مداخله را دریافت کرده و آنها را اولویت بندی کرده و با منابع موجود و محدودیت ها تطبیق داده و اثر گذار ترین مؤلفه نظامی را برای هدف تعیین کرده و اقدام میکند.

یکی از چالش‌های این روزهای من این است که هرگاه کدی می‌نویسیم، می‌گویند هوش مصنوعی نوشته است. متنی می‌نویسیم، باز هم می‌گویند هوش مصنوعی. دوره آموزشی تدوین می‌کنیم، می‌گویند کار هوش مصنوعی است. مشاوره می‌دهیم، باز هم انگ هوش مصنوعی می‌زنند. واقعا مسخره است.

البته مسئله هوش مصنوعی نیست و اینجا هم نمیخواهم غر بزنم بلکه میخواهم یک مورد دیگر را توضیح بدهم تا شاید این جماعت از راه شیطان برگردن؛ حقیقتا مشکل اینجاست که مانند بسیاری از فناوری‌های دیگر، درک و کاربرد آن در زمان نامناسب و توسط افرادی ناآگاه به کار گرفته شده است. افرادی که نه از ماشین لرنینگ ‌فهمی دارند، نه از ترانسفورمرها چیزی می‌دانند، نه از شبکه‌های عصبی و نه از هیچ‌یک از مبانی این حوزه. چهارتا سوال جبر خطی بپرسی، سکته ناقص میکنند.

با این حال، هر چیزی می‌بینند یا می‌شنوند، فوراً برچسب هوش مصنوعی به آن می‌زنند. بس کن دیگر، عزیز! اگر هوش مصنوعی واقعاً این‌قدر خارق‌العاده بود، مردم هر روز با آن سیستم‌عامل، روت‌کیت، یا اکسپلویت روزصفر تولید می‌کردند (فعلا نیست ولی در آینده هم مسائل ما این چیزا نیست). واقعیت این است که هوش مصنوعی هنوز به آن درجه از بلوغ نرسیده که بتواند به‌تنهایی پروژه‌های عظیم و بنیادی را از صفر تا صد پیش ببرد.

هوش مصنوعی را می‌توان به یک لودر تشبیه کرد. تا دیروز، ما برنامه‌نویسان در این سرزمین با بیل کار می‌کردیم؛ حالا لودری در اختیار داریم. همین و بس. آیا لودر به‌تنهایی خانه می‌سازد؟ حتی پس از یک صد سال حان کندن مهندس ها و پیشرفت صنعت، سیستم‌هایی ساخته شده‌اند که می‌توانند خانه بسازند، اما همچنان نیاز به طرح اولیه‌ای دارند که یک هوش طبیعی ارائه کند.

هوش مصنوعی واقعا ابزار قدرتمند و شگفت انگیزی هست و در بسیاری از موارد عملکردی بهتر از هوش انسانی ما ارائه می‌ده. اما نباید فراموش کنیم که این فناوری تنها مکملی برای هوش طبیعی ماست، نه جایگزینی برای آن (حداقل فعلا).

همچنین، هرگاه بشر ابزار قدرتمندی خلق کرده، چالش‌ها و مسائل پیش رویش به همان نسبت پیچیده‌تر شده‌اند. هیچ‌چیز قرار نیست حذف شود؛ تنها نوع مسائل و مشکلات جامعه بشری تغییر خواهد کرد. حالا هی بگو هوش مصنوعی 🫤.
| #iranian_ai_shit_issue

بزارید یک مثال از ریاضیات بزنم و همچنین موردی که شخصیت معظمی مانند ترنس تائو مطرح کرده است را مورد بررسی قرار بدیم. این روزها کلی حرف و حدیث در مورد نتایج llmها راه افتاده که مثلاً می‌تونه مسائل ریاضی باز یا همان open problemها و مسائل پیچیده در سطح دکترا رو حل کنه. ولی ماجرا این است که تمامی این افراد دارن اصل قضیه رو از پنهان میکنند و نمی‌بینن که مشکل اصلی کجاست! این مشکل و بهتون میگم بسط دادنش دیگه با خود شما.

ببینید تو این آزمایش‌ها، مثلا مورد gpt5 فقط بعضی از مسائل رو حل نکرده، بلکه همه‌شون رو امتحان کرده و جواب داده. اما گیر کار اینجاست که بعضی جواب‌هاش درست بودن و بعضی‌هاش غلط. حال ایراد این داستان کجاست؟ ایراد این مسئله اینجاست که وقتی شما برای یک پدیده لاینحل با هوش طبیعی، یک راه حل با هوش مصنوعی ارائه میدهی، چطوری می خواهی با هوش طبیعی که قابل درک براش نبوده، پاسخ رو ارزیابی کنی؟

ما هیچ راه ساده و سریعی نداریم که بفهمیم کدومش درسته و کدومش اشتباه (حداقل فعلا)! یعنی نمی‌تونی راحت چک کنی و مطمئن شی و بگی خب حله، این جواب درسته چون هوش مصنوعی ارائه کرده. چون این هوش مصنوعی‌ها اشتباهات عجیب و غریبی می‌کنن که آدم عادی متوجه‌شون نمی‌شه (ولی برنامه نویس ها این مورد و خیلی خوب درک میکنند، وقتی درگیر دیباگ کدهای llmها میشن).

در همین رابطه ترنس تائو گفته که مدل‌های زبانی بزرگ (مثل همین gpt) اشتباهاتشون تو اثبات‌های ریاضی کاملاً متفاوت و خاصه نسبت به اشتباهاتی که انسان‌ها معمولاً مرتکب می‌شن. یعنی انسان‌ها ممکنه تو محاسبات ساده یا مفاهیم پایه‌ای اشتباه کنن، اما این AIها گاهی تو جاهای خیلی تخصصی و ناشناخته خطا می‌دن که تشخیص‌شون سخته و نیاز به دانش عمیق داره.

پس حالا چطوری این نتایج رو بررسی و تأیید کنیم؟ خب، مجبوریم یه ریاضیدان در سطح دکترا بیاریم که با زحمت همه اثبات‌ها رو موبه‌مو چک کنه و ایرادها رو پیدا کنه. یعنی عملاً برمی‌گردیم سر خونه اول؟ 😅 یعنی همه این پیشرفت‌ها آخرش باز وابسته به انسان‌های متخصص می‌شه و نمی‌تونه کاملاً مستقل کار کنه! متوجه داستان شدید؟
| #ai_vs_iranian

🔺 آسیب‌پذیری‌های جدید قابل بهره‌برداری در دستگاه‌های Cisco

در پایان سپتامبر ۲۰۲۵، شرکت Cisco بولتن‌هایی درباره چندین آسیب‌پذیری بحرانی منتشر کرد. CVE‑2025‑20333، CVE‑2025‑20362 و CVE‑2025‑20352 هم‌اکنون در حملات مورد استفاده قرار می‌گیرند و CVE‑2025‑20363 به عنوان یک آسیب‌پذیری با ریسک بالا شناخته شده است و ممکن است به زودی توسط مهاجمان بهره‌برداری شود.

محصولات Cisco Secure Firewall ASA / FTD، Cisco IOS، IOS XE، IOS XR در معرض خطر هستند.

برای آگاهی از نشانه‌های دستگاه‌های احتمالا آسیب‌پذیر و نحوه محافظت در برابر این آسیب‌پذیری‌ها — در وب‌سایت سیسکو پیگیری کنید.

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.

ابزار تست نفوذ به اسباب‌بازی محبوب مجرمان سایبری تبدیل شد

🤖 HexStrike AI — یک چارچوب تست نفوذ متن‌باز جدید — تقریباً بلافاصله پس از انتشار به دست مجرمان سایبری افتاد تقریباً بلافاصله. اکنون ساخت اکسپلویت برای آسیب‌پذیری‌های تازه مانند CVE-2025-7775 در Citrix NetScaler به جای هفته‌ها، در عرض چند دقیقه انجام می‌شود. هوش مصنوعی به طور خودکار زنجیره‌های حمله را تولید می‌کند و سیستم‌های آسیب‌پذیر را پیدا می‌کند، کاری که زمانی نیازمند تجربه زیاد و زمان طولانی بود را به یک فرایند روتین تبدیل کرده است.

⚡️ سرعت افزایش تهدید شگفت‌انگیز است: تنها ۱۲ ساعت پس از افشای یک آسیب‌پذیری بحرانی در NetScaler، مهاجمان در فروم‌های دارک‌نت با حملات آماده خود خودنمایی کردند. قبلاً برای درک معماری سیستم، دور زدن محافظت و نوشتن اکسپلویت پایدار هفته‌ها مطالعه لازم بود. اکنون HexStrike با بیش از ۱۵۰ ابزار و ده‌ها عامل هوش مصنوعی یکپارچه شده است که تمام کارهای کثیف را به تنهایی انجام می‌دهند.

🔥 ما شاهد تغییر بنیادین در چشم‌انداز تهدیدات سایبری هستیم. مانع ورود به دنیای حملات جدی فرو ریخته است — اکنون نیازی نیست که استاد مهندسی معکوس باشید تا از آسیب‌پذیری‌های zero-day در سیستم‌های سازمانی سوءاستفاده کنید. مدافعان باید رویکردهای خود را در واکنش به حوادث به طور اساسی تغییر دهند.

#هوش_مصنوعی #اکسپلویت #تست_نفوذ #خودکارسازی_حملات


💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.

یک عنوان شغلی هم داریم
Content Writer
من از ۹۰٪ اینا فرار می‌کنم؛ (مخصوصاً اونایی که مثل نونواها هرروز صبح، ظهر و شب پست میذارن) چرا ؟

چون اینا دقیقاً Halucination دنیای واقعی ما هستند؛ دقیقاً مشخص نیست تخصص طرف چیه و راجب چی حق داره حرف بزنه یا بنویسه ولی راجب همه چیز شبه تخصص می‌نویسه.

مثلاً طرف مواردی راجب ورزش نوشته (تا دلت بخواد غلط داره)
الان یک مطلبی رو خوندم، طرف راجب تراپی و هوش مصنوعی نوشته بود!

تخصص تراپی رو که ندارم و کسی هم کنارم نیست که سوال کنم؛ اما توی هوش مصنوعی فقط کلمات تخصصی رو توی فرمت درست و براساس احتمال قرار گرفتن کنار هم گذاشته!

جدی میگم؛ سر و ته جمله مشخص نیست؛ ۸۰٪ مطلبش راجب LLM (هوش مصنوعی از نظر اینا) اشتباه هست، یعنی حتی اگر مطلب رو به ChatGpt هم می‌داد ایراداش رو می‌گرفت براش.

بدترین بخشش اینه که ۱۵ تا از کانکشن‌های بنده توی لینکدین، این پست رو لایک کردند (منم آنفالو کردم؛ برخلاف خیلی‌ها من وقتی کانکشن‌هام چیزی رو لایک یا کامنت می‌ذارند وقت می‌ذارم و می‌خونم.)

بزارید یک مثال از ریاضیات بزنم و همچنین موردی که شخصیت معظمی مانند ترنس تائو مطرح کرده است را مورد بررسی قرار بدیم. این روزها کلی حرف و حدیث در مورد نتایج llmها راه افتاده که مثلاً می‌تونه مسائل ریاضی باز یا همان open problemها و مسائل پیچیده در سطح دکترا رو حل کنه. ولی ماجرا این است که تمامی این افراد دارن اصل قضیه رو از پنهان میکنند و نمی‌بینن که مشکل اصلی کجاست! این مشکل و بهتون میگم بسط دادنش دیگه با خود شما.

ببینید تو این آزمایش‌ها، مثلا مورد gpt5 فقط بعضی از مسائل رو حل نکرده، بلکه همه‌شون رو امتحان کرده و جواب داده. اما گیر کار اینجاست که بعضی جواب‌هاش درست بودن و بعضی‌هاش غلط. حال ایراد این داستان کجاست؟ ایراد این مسئله اینجاست که وقتی شما برای یک پدیده لاینحل با هوش طبیعی، یک راه حل با هوش مصنوعی ارائه میدهی، چطوری می خواهی با هوش طبیعی که قابل درک براش نبوده، پاسخ رو ارزیابی کنی؟

ما هیچ راه ساده و سریعی نداریم که بفهمیم کدومش درسته و کدومش اشتباه (حداقل فعلا)! یعنی نمی‌تونی راحت چک کنی و مطمئن شی و بگی خب حله، این جواب درسته چون هوش مصنوعی ارائه کرده. چون این هوش مصنوعی‌ها اشتباهات عجیب و غریبی می‌کنن که آدم عادی متوجه‌شون نمی‌شه (ولی برنامه نویس ها این مورد و خیلی خوب درک میکنند، وقتی درگیر دیباگ کدهای llmها میشن).

در همین رابطه ترنس تائو گفته که مدل‌های زبانی بزرگ (مثل همین gpt) اشتباهاتشون تو اثبات‌های ریاضی کاملاً متفاوت و خاصه نسبت به اشتباهاتی که انسان‌ها معمولاً مرتکب می‌شن. یعنی انسان‌ها ممکنه تو محاسبات ساده یا مفاهیم پایه‌ای اشتباه کنن، اما این AIها گاهی تو جاهای خیلی تخصصی و ناشناخته خطا می‌دن که تشخیص‌شون سخته و نیاز به دانش عمیق داره.

پس حالا چطوری این نتایج رو بررسی و تأیید کنیم؟ خب، مجبوریم یه ریاضیدان در سطح دکترا بیاریم که با زحمت همه اثبات‌ها رو موبه‌مو چک کنه و ایرادها رو پیدا کنه. یعنی عملاً برمی‌گردیم سر خونه اول؟ 😅 یعنی همه این پیشرفت‌ها آخرش باز وابسته به انسان‌های متخصص می‌شه و نمی‌تونه کاملاً مستقل کار کنه! متوجه داستان شدید؟

یه بنده خدایی دیروز پیام داد که آقا چرا اینقدر به این سخنرانی ها و همایش ها گیر میدید؟ مگه زمان خود شما کیا میومدن همایش و سمینار برگزار می کردن؟

فقط یه نمونه بگم که اساتیدی که من همایش ها و سمینارهاشون می رفتم ، یا له له میزدم که برم سر کلاسشون بشینم تا از شنیدن عمق دانششون کیف کنم

یکیش الان تو دیتاسنتر " لینکداین " هست ، یکیش سر تیم دیتاسنتر " مایکروسافت " هست

اسم یکیشون " فواد محمدی " بود ، که معمار زیرساخت خیلی از بانک های کشور هست هنوز

ولی طرف با دو تا CCIE LAB میگفت من هیچی نمیدونم !! نه اینکه با CCIE داخلی بیاد بگه میدونید دوره CCNA چی هست؟

سطح علمی اینجوری نابود شده عزیزان !! کسیکه کار Passive انجام داده و دو تا کابل وصل کرده !!

میاد در مورد طراحی دیتاسنتر و امنیت مرکز داده صحبت می کنه !! بگذریم ... خواستم بگم کنایه های من از افسوس برای این مملکنه

که چند سال دیگه احتمالا تو سمینارها راجع به نصب ویندوز صحبت میشه !! و اینکه لینوکس چقدر قشنگه ایشالا مبارکش باد ...

شماهم اگر مثل من باشید و سیستم رو هفته‌ای یکبار خاموش یا ریستارت کنید؛ یک مشکل رو توی برنامه‌هایی مثل مرورگرها و ... می‌بینید!
اونم مصرف رم که روزانه زیاد میشه؛ بدون اینکه در آخر روز تعداد تب‌های باز و ... زیاد شده باشه!

اول از ستاپ خودم بگم:
من همیشه حداقل ۶ تا virtual workstation روی سیستم دارم؛ که همواره ثابت و فعال هستند که شامل این ترکیب از ابزارها میشه (به محض اینکه لپ‌تاپ ریبوت میشه این ابزارها میاد بالا به ترتیب برای هر workspace) :

۱- تلگرام - اسلک - چت شرکت و گوگل میت .
۲- فایرفاکس - neovim - فایرفاکس (برای کدهای rust)
۳- فایرفاکس - neovim/vscode - کروم (برای python؛ البته به شرایط بستگی داره)
۴- کتاب (آخرین کتابی که دارم میخونم) - neovim - فایرفاکس
۵- یوتیوب یا دوره‌های آموزشی (vlc)
۶- یوتیوب و چت‌های کلی و ... هرکاری که توی محیط‌های قبلی نیست یا موقت هست.

اگر روی سیستم اصلیم باشم؛ هیچ مشکلی ندارم چون تا ماه بعدی رم داره؛ ولی وقتایی که روی لپ‌تاپ هستم (قبلتر گفتم چطوری لپ‌تاپ رو ریستور کردم و مناسب کار شده) چون ۲۴ گیگ رم داره ممکنه به آخر هفته (بعضی وقتا چند هفته) نکشه؛ مشکل هم مرورگرها هستند (یا ابزارهای مشابه) وقتی بعد از ریبوت مرورگر رو باز می‌کنم و همه صفحات و ویندوهای قبلی بالا میاد حدود ۳ گیگ رم مصرف میشه.
اما آخر هفته وقتی همه‌ی تب‌های اضافه رو می‌بندم و فقط همونایی می‌مونه که اول هفته باز کردم بازم می‌بینم بعضی وقتا تا ۹-۱۱ گیگ رم مصرف می‌کنه حداقل ۳ برار !

که خب دلایلش این چیزا می‌تونه باشه:
۱- خود Garbage collector که خب سریعا رم رو خالی نمی‌کنه؛ اگر هم یک addons بد کد زده شده باشه ممکنه کلا خالی نکنه
۲- کدهای بد توسعه دهنده‌ها؛ ممکنه یک چیزی رفرنس داشته باشه و هیچوقت GC تمیزش نکنه (هم توی کروم هم توی فایرفاکس زیاد پیش اومده - addons ها هم که بیشمار دیده شده)
۳- خود مرورگرها؛ که مثل لیست و وکتور عمل می‌کنه اگر مصرفت بره بالا سخت‌افزار بیشتری رو از سیستم‌عامل درخواست میده و لزوما بعد از اینکه تو اون تب‌ها رو بستی اون‌ها رو خالی نمی‌کنه با یک ضریبی دست خودش نگه میداره که اگر دوباره مصرفت زیاد شد؛ سریع بتونه برات همه چیز رو لود کنه.
۴- خود allocator های مرورگرها هم یک سری تکنیک‌ها دارند که باعث میشه رم رو در لحظه تحویل سیستم ندند.


منم خیلی طرفدار اینکه مرورگر رو ببندم و دوبازه باز کنم نیستم؛ تنظیماتی هم توی مرورگرها نیست که بشه این رفتار رو حذف کرد؛ که بگم به محض اینکه تب رو بستم سریع رم و منابع رو خالی کن.اما روی فایرفاکس توی address bar وقتی بزنید:

about:memory

می‌تونید توی بخش Free Memory گزینه Minimize memory usage رو بزنید؛ عالی نیست و خب چندباری پشت هم به GC دستور تمیزکاری میده و مقداری زیادی از رم در اختیار مرورگر رو خالی می‌کنه.

ولی اگر یکی یک مرورگر بنویسه که بشه دستی بهش گفت چقدر بیشتر از آنچه که درحال استفاده هست می‌تونه رم و منابع و ... نگهداره (برای سرعت) شخصا اولی نفری هستم که سوییچ می‌کنم روش که مجبور نباشم روزی یکبار Minimize memory usage بزنم.