هشدار امنیتی | آسیبپذیری بحرانی در OpenShift GitOps با امکان تصاحب کامل خوشه تاریخ انتشار: 16 دسامبر 2025 جزئیات هشدار:آسیبپذیری جدیدی با شناسه CVE-2025-13888 در خدمت OpenShift GitOps شناسایی شده است. OpenShift GitOps یک خدمت مبتنی بر Argo CD است که از رویکرد GitOps برای مدیریت خودکار فرایندهای استقرار (Deployments) در خوشههای Kubernetes بهره میبرد. این خدمت، وضعیت مطلوب زیرساختها و برنامههای کاربردی را با همگامسازی با مخازن Git اعمال و نگهداری میکند. با توجه به نقش حیاتی این خدمت در کنترل چرخه استقرار، مدیریت پیکربندیها و تضمین همگامی خوشه با منابع کد، هرگونه آسیبپذیری امنیتی در آن میتواند پیامدهای گستردهای (شامل دستکاری فرایندهای استقرار، دسترسی غیرمجاز به زیرساختهای حساس و ایجاد مخاطرات زنجیرهای در محیطهای تولید) بههمراه داشته باشد.این آسیبپذیری به کاربران دارای نقش Namespace Administrator امکان میدهد سطح دسترسی خود را به سطح دسترسی ریشه (root) در کل خوشه ارتقا دهند. این مشکل ناشی از اعتبارسنجی نادرست مجوزها هنگام ایجاد منابع سفارشی در Argo CD است. اگرچه شرکت Red Hat شدت این آسیبپذیری را در سطح «Important» ارزیابی کرده است، اما از دیدگاه فنی و عملیاتی، تأثیر آن در محیطهای واقعی بحرانی محسوب میشود؛ بهویژه در سازمانهایی که مدیران فضای نام از سطح اعتماد کامل برخوردار نیستند. محصولات آسیبپذیر:• OpenShift GitOps نسخههای 1.16، 1.17 و 1.18 راهکارها و اقدامات امنیتی پیشنهادی:• بهروزرسانی فوری به آخرین نسخههای اصلاحشده توسط Red Hat که آسیبپذیری CVE-2025-13888 را رفع میکنند• محدودسازی و بازبینی پیوسته دسترسیهای مدیریتی در فضاهای نام براساس اصل حداقل دسترسی• نظارت پیوسته و حسابرسی دقیق بر منابع سفارشی Argo CD• پایش فعال رویدادهای امنیتی بهمنظور شناسایی رفتارهای مشکوک یا تلاشهای ارتقای غیرمجاز دسترسی در سطح خوشه منابع:[1] https://gbhackers.com/openshift-gitops-vulnerability[2] https://securityonline.info/critical-openshift-gitops-flaw-risks-cluster-takeover-cve-2025-13888-via-privilege-escalation-to-root#گزارش_آسیبپذیری
@cyberseclabs | #CVE202513888 #OpenShift #GitOps
۵:۲۷
هشدار امنیتی | شناسایی بدافزار SantaStealer: خدمت جدید مجرمان سایبری برای سرقت دادهها تاریخ انتشار: 16 دسامبر 2025 جزئیات هشدار:SantaStealer یک بدافزار جدید از نوع (Malware-as-a-Service) MaaS است که بهعنوان نسخهای بازطراحیشده از BluelineStealer معرفی شده است. این بدافزار توسط مجرمان سایبری در کانالهای تلگرام و انجمنهای زیرزمینی مانند Lolz تبلیغ میشود و بهطور کامل با زبان C توسعه یافته است.SantaStealer قادر است دادههای حساس کاربران را جمعآوری کرده و به کارگزار فرمان و کنترل (C2) ارسال کند. اطلاعات هدف این بدافزار شامل اعتبارنامههای ذخیرهشده در مرورگرهای مبتنی بر Chromium (بهویژه Google Chrome)، دادههای حساب کاربری Steam، کیفپولهای رمزارزی و فایلهای شخصی کاربران است.تحلیلهای انجامشده توسط Rapid7 نشان میدهد که برخلاف ادعای توسعهدهندگان، نسخههای انتشاریافته این بدافزار فاقد هرگونه سازوکار رمزنگاری هستند و حتی شامل نمادهای اشکالزدایی میشوند؛ مسئلهای که فرایند تحلیل بدافزار و مهندسی معکوس را بهطور قابلتوجهی سادهتر میکند. این بدافزار از ۱۴ ماژول قابل فعالسازی از طریق یک پنل تحتوب بهره میبرد و برای انتشار خود، از آسیبپذیری CVE-2025-8088 در ابزار WinRAR بهرهبرداری میکند. محصولات آسیبپذیر:• سیستمعاملهای ویندوز• مرورگرهای مبتنی بر Chromium• برنامههایی مانند Steam و کیفپولهای رمزنگاری• نسخههای آسیبپذیر WinRAR (CVE-2025-8088) راهکارها و اقدامات امنیتی پیشنهادی:• از بازکردن پیوندها و فایلهای ناشناس در پیامرسانها یا شبکههای اجتماعی خودداری کنید.• از نصب نرمافزارهای غیررسمی یا افزونههای تأییدنشده پرهیز کنید.• به پیامهایی با عناوین گمراهکننده مانند «درخواست پشتیبانی فنی» در وبگاههای مشکوک اعتماد نکنید؛ این پیامها معمولاً بخشی از سناریوهای فیشینگ یا مهندسی اجتماعی هستند که با هدف نصب بدافزار یا سرقت اعتبارنامهها طراحی میشوند.• ابزارهایی مانند WinRAR و سایر نرمافزارهای پرکاربرد را بهروز نگه دارید تا از آسیبپذیریهای شناختهشده (مانند CVE-2025-8088) در امان بمانید.• از آنتیویروسهای معتبر و راهکارهای EDR برای افزایش سطح دفاع، شناسایی فعالیتهای مشکوک و مقابله با تهدیدات پیشرفته استفاده کنید. منابع:[1] https://www.scworld.com/news/rapid7-unwraps-new-santastealer-malware-as-a-service[2] https://gbhackers.com/santastealer-malware#امنیت_سایبری #بدافزار
@cyberseclabs | #SantaStealer #MaaS
۸:۳۱
هشدار امنیتی | بهرهبرداری گسترده از آسیبپذیری React2Shell برای انتشار بدافزار ZnDoor تاریخ انتشار: 15 دسامبر 2025 جزئیات هشدار:از اوایل دسامبر ۲۰۲۵ میلادی، مهاجمان بهصورت فعال از آسیبپذیری اجرای کد از راه دور (RCE) موجود در برنامههای React/Next.js به نام React2Shell (با شناسه CVE-2025-55182) بهرهبرداری میکنند. این حملات، در ابتدا با هدف استخراج ارزهای دیجیتال انجام میشد، اما گزارشهای اخیر نشان میدهد که بدافزار جدیدی به نام ZnDoor نیز از این بردار حمله برای گسترش خود استفاده میکند.ZnDoor یک تروجان دسترسی از راه دور (RAT) با قابلیتهای پیشرفته است که پس از نفوذ، ارتباطی پایدار با کارگزار فرمان و کنترل (C2) در نشانی api.qtss.cc:443 برقرار میکند. این بدافزار طیف گستردهای از قابلیتهای مخرب را در اختیار مهاجم قرار میدهد:• اجرای دستورات شل• فهرستسازی، دستکاری و مدیریت فایلها• فعالسازی پروکسی SOCKS5• دورزدن سازوکارها و ابزارهای تشخیص• جعل نام پردازهها برای پنهانسازی فعالیتهای مخرب• تغییر مهرزمانی فایلها به تاریخ 15 ژانویه 2016 میلادی• تداوم اجرا از طریق راهاندازی مجدد با ایجاد پردازههای فرزندمجموعه این قابلیتها نشان میدهد که ZnDoor بهطور هدفمند برای ماندگاری، پنهانسازی فعالیتهای مخرب و گسترش در محیطهای آلوده طراحی شده و میتواند تهدیدی جدی برای سامانههای مبتنی بر React/Next.js محسوب شود. محصولات آسیبپذیر:• برنامههای توسعهیافته با React/Next.js که در برابر آسیبپذیری React2Shell (CVE-2025-55182) وصله نشدهاند راهکارها و اقدامات امنیتی پیشنهادی:• بهروزرسانی فوری برنامههای React/Next.js به آخرین نسخههای امنشده و اعمال وصلههای امنیتی انتشاریافته• استفاده از ابزارهای پایش رفتاری برای شناسایی رفتارهای غیرعادی (از قبیل ارسال مداوم درخواستهای HTTP به دامنهها یا نشانیهای ناشناخته)• مسدودسازی، محدودسازی یا تولید هشدار نسبت به ترافیک خروجی به نشانیهای مشکوک (45.76.155.14 و api.qtss.cc)• تقویت و بهروزرسانی قوانین SIEM/SOC بهمنظور شناسایی الگوهای ارتباطی مرتبط با کارگزارهای C2 منابع:[1] https://cybersecuritynews.com/zndoor-malware-exploiting-react2shell-vulnerability/[2] https://thehackernews.com/2025/12/react2shell-vulnerability-actively.html#امنیت_سایبری #بدافزار
@cyberseclabs | #ZnDoor #React2Shell #RAT
۷:۴۵
افشای جمعآوری پنهانی دادههای چتباتهای هوش مصنوعی توسط یک افزونه مرورگر با عنوان VPN از 8 میلیون کاربر تاریخ انتشار: 16 دسامبر 2025 یک افزونه مرورگر محبوب که با عنوان VPN محافظ حریم خصوصی تبلیغ میشود، در عمل بهصورت مخفیانه مکالمات کاربران با چتباتهای محبوب هوش مصنوعی را جمعآوری و منتقل میکند؛ موضوعی که نگرانیهای جدی درباره شفافیت و اعتماد کاربران ایجاد کرده است.پژوهشگران شرکت Koi Security اعلام کردهاند که Urban VPN Proxy، افزونهای برای Chrome و Microsoft Edge با امتیاز 4.7 در Google Web Store، دادههای مربوط به گفتگوهای کاربران با 8 پلتفرم بزرگ هوش مصنوعی را برداشت میکند. این پلتفرمها شامل ChatGPT، Claude، Google Gemini، Microsoft Copilot، Perplexity، DeepSeek، Grok از xAI و Meta AI هستند. طبق گزارش Koi Security، قابلیت جمعآوری داده از نسخه 5.5.0 این افزونه که در ماه July منتشر شد، اضافه شده است. نسخههای قدیمیتر چنین قابلیتی نداشتند، اما در تمام بهروزرسانیهای پس از آن، این ویژگی بهصورت پیشفرض فعال است. در نتیجه، تعاملات کاربران با چتباتهای ذکرشده بدون گزینهای شفاف برای غیرفعالسازی، ضبط و منتقل میشود و تنها راه توقف آن، حذف کامل افزونه است.ایدان داردیکمن، همبنیانگذار و مدیر فناوری Koi Security، تأکید کرده است که این جمعآوری داده مستقل از عملکرد VPN انجام میشود. حتی زمانی که VPN متصل نیست، افزونه همچنان در پسزمینه دادهها را برداشت میکند. این موضوع بهویژه نگرانکننده است، زیرا Urban VPN Proxy دارای نشان “featured” از سوی Google است؛ نشانی که نشان میدهد افزونه بررسی دستی شده و استانداردهای مشخصی را رعایت کرده است. ابعاد این مسئله گسترده است. به گفته داردیکمن، حدود 8 میلیون کاربر تحت تأثیر قرار گرفتهاند؛ از جمله نزدیک به 6 میلیون کاربر Chrome و صدها هزار کاربر دیگر در افزونههای مرتبط با همان ناشر. این افزونهها شامل 1ClickVPN Proxy، Urban Browser Guard و Urban Ad Blocker در فروشگاههای Chrome و Microsoft Edge هستند. از نظر فنی، افزونه فعالیت تبهای مرورگر را زیر نظر میگیرد و هر زمان کاربر وارد یکی از پلتفرمهای هدف هوش مصنوعی میشود، اسکریپتهای خاصی را به صفحه تزریق میکند. این اسکریپتها توابع اصلی شبکه مرورگر مانند fetch() و XMLHttpRequest را بازنویسی میکنند و به افزونه اجازه میدهند تمام ترافیک شبکه صفحه را رهگیری کند. به این ترتیب، افزونه میتواند درخواستها و پاسخهای چتبات را حتی پیش از نمایش در مرورگر مشاهده کند.اطلاعات جمعآوریشده شامل متن پرسشهای کاربران، پاسخهای هوش مصنوعی، شناسههای گفتگو، زمانبندیها، متادیتای نشست و حتی جزئیات مربوط به مدل هوش مصنوعی مورد استفاده است. این دادهها سپس فشرده شده و از طریق سرورهای Urban VPN و نقاط پایانی مرتبط با تحلیل داده ارسال میشوند. این افزونه توسط شرکت Urban Cyber Security توسعه داده شده که با BiScience یا B.I Science (2009) Ltd. مرتبط است؛ شرکتی که در حوزه دلالی داده فعالیت دارد. هرچند Urban VPN در فرآیند راهاندازی افزونه به نوعی پردازش دادههای چتباتهای هوش مصنوعی اشاره میکند، Koi Security معتقد است رضایت واقعی کاربران در میان اسناد طولانی حریم خصوصی پنهان شده است. افزونه همچنین ادعا میکند که دادهها را خارج از موارد استفاده تأییدشده به اشخاص ثالث نمیفروشد، اما این ادعا با انتظارات کاربران از یک ابزار «محافظ حریم خصوصی» همخوانی ندارد.شرکت BiScience به درخواستها برای اظهار نظر پاسخی نداد. Koi Security نیز موضوع را به Google یا Microsoft گزارش نکرده و اعلام کرده است که رفتار افزونه شاید از نظر فنی با سیاستهای فروشگاهها سازگار باشد، اما با انتظار کاربران مغایرت دارد. حساسیت این موضوع بهدلیل نوع اطلاعاتی است که کاربران معمولاً با چتباتهای هوش مصنوعی در میان میگذارند؛ از مسائل پزشکی و مالی گرفته تا مشکلات شخصی و کدهای محرمانه. برای کاهش ریسک، به سازمانها توصیه میشود افزونههای نصبشده روی دستگاههای کاری را بررسی کنند، سیاستهای سختگیرانه برای تأیید افزونهها اعمال کنند و بهجای اتکا به اعتبار فروشگاهها، رفتار واقعی افزونهها را ارزیابی کنند. منابع:[1] https://darkreading.com/endpoint-security/chrome-extension-harvests-ai-chatbot-data[2] https://www.koi.ai/blog/urban-vpn-browser-extension-ai-conversations-data-collection#امنیت_سایبری #حریم_خصوصی@cyberseclabs | #Privacy #VPN #AI۱۱:۴۸
آسیبپذیری بحرانی در n8n امکان اجرای کد دلخواه را در هزاران سرورِ تحت تاثیر فراهم میکند تاریخ انتشار: 24 دسامبر 2025 یک نقص بحرانی در پلتفرم متنباز اتوماسیون گردشکار n8n میتواند منجر به اجرای کد از راه دور (RCE) با سطح دسترسی بالا توسط یک مهاجم احراز هویتشده شود؛ n8n هفته گذشته این موضوع را افشا کرد.به گزارش Censys در یک اطلاعیه در روز دوشنبه، بیش از 100,000 سرور که عمدتاً در ایالات متحده قرار دارند، بهطور بالقوه تحت تأثیر آسیبپذیری n8n با شناسه CVE-2025-68613 هستند. امتیاز CVSS این آسیبپذیری 9.9 (Critical) اعلام شده است. این آسیبپذیری به هر کاربر احراز هویتشدهای که امکان ایجاد یا ویرایش گردشکارها را دارد اجازه میدهد به دلیل ایزولهسازی ناکافی بستر اجرای عبارات ارائهشده توسط کاربر که در طول گردشکارها ارزیابی میشوند، کد دلخواه را با سطح دسترسی پردازش n8n اجرا کند.به گفته n8n در اطلاعیه خود، این قابلیت اجرای کد از طریق پردازش n8n میتواند به compromise کامل سرور منجر شود؛ از جمله سرقت دادههای حساس، تغییر سایر گردشکارها و اجرای عملیات در سطح سیستم.جزئیات بیشتری درباره این آسیبپذیری روز یکشنبه توسط شرکت تست نفوذ SecureLayer7 منتشر شد؛ این شرکت دستورالعملها و کد اثبات مفهومی (PoC) برای بهرهبرداری از این آسیبپذیری ارائه کرده است. ارزیابی SecureLayer7 نشان میدهد که عبارات JavaScript که در گردشکارها گنجانده شده و داخل {{ }} قرار میگیرند، هنگام اجرای گردشکار بهصورت سمت سرور و از طریق Node.js اجرا میشوند و میتوانند به بستر سراسری “this” دسترسی داشته باشند؛ بستری که به محیط اجرای Node.js اشاره میکند. در نتیجه، یک مهاجم با سطح دسترسی پایین میتواند به اشیای دارای امتیاز بالا مانند “process” دسترسی پیدا کند و ماژولهای Node.js مانند “child_process” را برای اجرای دستورات دلخواه سیستم بارگذاری کند.SecureLayer7 همچنین اشاره کرده است که این آسیبپذیری میتواند از طریق ویرایشگر گردشکار در رابط کاربری وب n8n یا از طریق نقاط پایانی REST API مربوط به ایجاد، بهروزرسانی و اجرای گردشکارها مورد سوءاستفاده قرار گیرد. آنها PoCهایی برای چندین payload بالقوه، از آزمونهای ساده اثبات آسیبپذیری گرفته تا خواندن فایلهای حساس، استخراج داده از طریق HTTP و اجرای reverse shell ارائه کردهاند.وصلهی CVE-2025-68613 بستر اجرای عبارات را با محدود کردن دسترسی به شیء “this” در هنگام اجرای عبارات JavaScript ایزوله میکند. این آسیبپذیری نسخههای n8n شامل 0.211.0 و بعد از آن، و نسخههای قبل از وصلههای 1.120.4، 1.121.1 و 1.122.0 را تحت تأثیر قرار میدهد. به کاربران توصیه میشود برای جلوگیری از بهرهبرداری از CVE-2025-68613 در اسرع وقت بروزرسانی را اعمال کنند. در مواردی که اعمال وصله بلافاصله ممکن نیست، اقدامات کاهش ریسک موقت شامل محدود کردن ایجاد و ویرایش گردشکارها فقط به کاربران کاملاً مورد اعتماد و استقرار n8n در محیطهای سختسازیشده با سطح دسترسی محدود سیستمعامل و دسترسی شبکه محدود است.نگهدارندگان n8n تأکید کردند: «این راهکارهای موقت خطر را بهطور کامل از بین نمیبرند و فقط باید بهعنوان اقدامات کوتاهمدت استفاده شوند.» منابع:[1] https://scworld.com/news/cvss-9-9-rce-vulnerability-in-n8n-potentially-impacts-more-than-100k-servers[2] https://github.com/n8n-io/n8n/security/advisories/GHSA-v98v-ff95-f3cp#امنیت_سایبری #آسیب_پذیری
@cyberseclabs | #Vulnerability #n8n
۴:۵۵
اطلاعرسانی | سرقت مخفیانه اطلاعات بیش از ١٧٠ سایت توسط دو افزونه مخرب Chrome تاریخ انتشار: 23 دسامبر 2025 خلاصه خبر:پژوهشگران امنیتی دو افزونه مخرب Google Chrome را کشف کردند که بهطور پنهانی ترافیک کاربران را رهگیری و اطلاعات احراز هویت و دادههای حساس را از بیش از ۱۷۰ سایت سرقت میکنند. متن کامل خبر:پژوهشگران امنیتی دو افزونه مخرب برای مرورگر Google Chrome کشف کردهاند که بهطور پنهانی ترافیک مرورگر و دادههای حساس کاربران را جمعآوری میکنند. این افزونهها با نام Phantom Shuttle در فروشگاه Chrome Web Store منتشر شده و ادعا میکردند ابزارهای تست سرعت شبکه هستند، اما در پسزمینه، ترافیک مرورگر را از طریق یک پراکسی کنترلشده توسط عامل تهدید هدایت میکردند تا اطلاعات مهم مانند اعتبارنامههای ورود، کوکیها، دادههای کارت اعتباری و سایر اطلاعات شخصی را رهگیری و به سرور مهاجم ارسال کنند.تحقیقات نشان دادهاند این افزونهها از سال 2017 در دسترس بودهاند تا اینکه اخیراً کشف شده و گزارش شدند. کاربران به سرعت باید این افزونهها را حذف کنند و شرکتها باید ابزارهایی مانند allow-list کردن افزونهها و نظارت شبکهای را در اولویت قرار دهند تا از سرقت اطلاعات جلوگیری شود. پیوندها:[1] https://thehackernews.com/2025/12/two-chrome-extensions-caught-secretly.html[2] https://www.bleepingcomputer.com/news/security/malicious-extensions-in-chrome-web-store-steal-user-credentials/[3] https://www.scworld.com/perspective/why-security-pros-still-have-to-watch-for-flaws-in-network-video-devices-and-peripherals/#Chrome #BrowserSecurity #CredentialTheft
@cyberseclabs
۱۲:۲۲
اطلاعرسانی | CISA نقص فعال در دستگاههای NVR Digiever را با امکان اجرای کد از راه دور اعلام کرد تاریخ انتشار: 25 دسامبر 2025 خلاصه خبر:آژانس امنیت سایبری ایالات متحده (CISA) نقصی را در دستگاههای NVR مدل Digiever DS-2105 Pro به فهرست آسیبپذیریهای شناختهشده و در حال بهرهبرداری اضافه کرده که احتمال اجرای کد از راه دور را فراهم میکند. این نقص از نوع تزریق فرمان است و به مهاجمان پس از احراز هویت اجازه میدهد از طریق درخواستهای crafted کد اجرا کنند. متن کامل خبر:آژانس امنیت سایبری و زیرساخت ایالات متحده (**CISA**) یک نقص در دستگاههای ضبط ویدئوی شبکه (NVR) مدل Digiever DS-2105 Pro را به فهرست آسیبپذیریهای شناختهشده و مورد بهرهبرداری (KEV) اضافه کرده است، زیرا شواهدی از بهرهبرداری فعال از این نقص در حملات واقعی مشاهده شده است. این آسیبپذیری، CVE-2023-52163 با امتیاز CVSS 8.8، مربوط به یک مورد تزریق فرمان (command injection) در اسکریپت time_tzsetup.cgi است که در دستگاههای دارای نسخهی firmware 3.1.0.71-11 یافت میشود. با بهرهبرداری موفق از این نقص، مهاجم میتواند دستوراتی را با امتیازات سرویس وب ارسال و اجرا کند که ممکن است منجر به دسترسی غیرمجاز، تغییر پیکربندی، افشای داده یا استفاده از دستگاه برای حملات بیشتر شود. این مشکل بهدلیل اینکه دستگاهها دیگر پشتیبانی یا وصله رسمی ندارند (End-of-Life)، همچنان آسیبپذیر باقی ماندهاند، و CISA توصیه میکند که دستگاهها را از اینترنت جدا کنند و تنظیمات پیشفرض مانند نام کاربری و رمز عبور را تغییر دهند. پیوندها:[1] https://thehackernews.com/2025/12/cisa-flags-actively-exploited-digiever.html[2] https://nvd.nist.gov/vuln/detail/CVE-2023-52163[3] https://securityaffairs.com/186021/security/u-s-cisa-adds-a-flaw-in-digiever-ds-2105-pro-to-its-known-exploited-vulnerabilities-catalog.html#CISA #Digiever #NVR@cyberseclabs
۱۲:۵۰
اطلاعرسانی | کشف نقص مهمی در MongoDB که اجازه میدهد مهاجمان حافظه خوانده نشده را بخوانند تاریخ انتشار: 27 دسامبر 2025 خلاصه خبر:یک نقص امنیتی با شدت بالا در MongoDB کشف شده که میتواند به مهاجمان بدون احراز هویت اجازه دهد بخشهای خوانده نشده از حافظه heap را بخوانند. این نقص ناشی از مدیریت نادرست پارامتر length در هدرهای پروتکل فشردهسازی zlib است و باعث میشود درخواستهای crafted بتوانند دادههای حساس سرور را فاش کنند. متن کامل خبر:یک نقص با شدت بالا در سرور MongoDB افشا شده که ممکن است به مهاجمان بدون احراز هویت اجازه دهد تا حافظه heap خوانده نشده را از سرور بخوانند. این آسیبپذیری با شناسه CVE-2025-14847 و امتیاز CVSS 8.7 ردیابی میشود و به دلیل مدیریت نامناسب پارامتر طول (length) در هدرهای پروتکل فشردهسازی zlib رخ میدهد. در توضیح این نقص آمده است که «فیلدهای طول ناسازگار در هدرهای فشردهسازی zlib ممکن است به یک مشتری بدون احراز هویت اجازه دهند حافظه heap خوانده نشده را بخواند». این نقص نسخههای متعدد MongoDB و MongoDB Server را تحت تأثیر قرار میدهد، از جمله:• MongoDB 8.2.0 تا 8.2.3• MongoDB 8.0.0 تا 8.0.16• MongoDB 7.0.0 تا 7.0.26• MongoDB 6.0.0 تا 6.0.26• MongoDB 5.0.0 تا 5.0.31• MongoDB 4.4.0 تا 4.4.29• تمامی نسخههای Server 4.2، 4.0 و 3.6. این نقص در نسخههای اصلاح شده مانند 8.2.3، 8.0.17، 7.0.28، 6.0.27، 5.0.32 و 4.4.30 برطرف شده است و توسعهدهندگان توصیه میکنند سریعاً به این نسخهها ارتقاء یابند.در صورتی که بهروزرسانی فوری ممکن نباشد، گزینهی موقت غیرفعال کردن فشردهسازی zlib تا زمان پچ کامل پیشنهاد میشود. پیوندها:[1] https://thehackernews.com/2025/12/new-mongodb-flaw-lets-unauthenticated.html[2] https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-vulnerability-immediately/[3] https://orca.security/resources/blog/cve-2025-14847-mongodb-heap-memory-leak/#MongoDB #CVE2025@cyberseclabs
۱۲:۵۰
شرکت Trust Wallet هک 7 میلیون دلاری رمزارز در اثر کد مخرب در افزونه مرورگر کروم خود را تأیید کرد تاریخ انتشار: 26 دسامبر 2025 بهروزرسانی 24 دسامبر افزونه مرورگر کروم Trust Wallet منجر به سرقت دستکم ۷ میلیون دلار شده است. تراست والت از کاربران خود خواسته است افزونه Google Chrome خود را به آخرین نسخه بهروزرسانی کنند. این مشکل، به گفته این سرویس کیف پول رمزارزی چندزنجیرهای و غیرامانی، نسخه 2.68 را تحت تأثیر قرار میدهد. بر اساس اطلاعات صفحه Chrome Web Store، این افزونه حدود 1 میلیون کاربر دارد. به کاربران توصیه شده است هرچه سریعتر به نسخه 2.69 بهروزرسانی کنند.تراست والت در پستی در شبکه X اعلام کرد: «ما تأیید کردهایم که حدود 7 میلیون دلار تحت تأثیر قرار گرفته و اطمینان میدهیم که تمام کاربران آسیبدیده بازپرداخت خواهند شد.» این شرکت افزود: «حمایت از کاربران آسیبدیده اولویت اصلی ماست و ما بهطور فعال در حال نهاییسازی فرایند بازپرداخت به کاربران متأثر هستیم.» کاربرانِ فقط موبایل و تمامی نسخههای دیگر افزونههای مرورگر تحت تأثیر این مشکل قرار نگرفتهاند. بر اساس جزئیاتی که شرکت امنیت بلاکچین SlowMist منتشر کرده، نسخه 2.68 کد مخربی را معرفی کرده که برای پیمایش تمام کیف پولهای ذخیرهشده در افزونه طراحی شده و برای هر کیف پول، درخواست عبارت بازیابی (mnemonic) را فعال میکند.این شرکت گفت: «mnemonic رمزگذاریشده سپس با استفاده از رمز عبور یا passkeyPassword واردشده هنگام باز کردن قفل کیف پول رمزگشایی میشود.» «پس از رمزگشایی، عبارت mnemonic به سرور مهاجم api.metrics-trustwallet[.]com ارسال میشود.»دامنه «metrics-trustwallet[.]com» در تاریخ December 8, 2025 ثبت شده و اولین درخواست به «api.metrics-trustwallet[.]com» از تاریخ December 21, 2025 آغاز شده است.تحلیلهای بیشتر نشان داده که مهاجم از یک کتابخانه متنباز تحلیل زنجیره کامل به نام posthog-js برای جمعآوری اطلاعات کاربران کیف پول استفاده کرده است. داراییهای دیجیتال تخلیهشده تاکنون شامل حدود 3 میلیون دلار بیتکوین، 431 دلار سولانا و بیش از 3 میلیون دلار اتریوم است. وجوه سرقتشده برای پولشویی و تبدیل، از طریق صرافیهای متمرکز و بریجهای بینزنجیرهای جابهجا شدهاند. طبق بهروزرسانی منتشرشده توسط محقق بلاکچین ZachXBT، این حادثه صدها قربانی داشته است. در حالی که حدود 2.8 میلیون دلار از وجوه سرقتشده همچنان در کیف پولهای هکر (Bitcoin / EVM / Solana) باقی مانده، بخش عمده (بیش از 4 میلیون دلار رمزارز) به صرافیهای متمرکز (CEXs) ارسال شده است: حدود 3.3 میلیون دلار به ChangeNOW، حدود 340,000 دلار به FixedFloat و حدود 447,000 دلار به KuCoin.» اووین چن، مدیرعامل تراست والت، گفت «افزونه مخرب v2.68 از طریق فرایند دستی داخلی ما منتشر نشده است.» و «یافتههای فعلی ما نشان میدهد که به احتمال زیاد این نسخه بهصورت خارجی و از طریق کلید API فروشگاه Chrome Web Store منتشر شده و بررسیهای استاندارد انتشار ما را دور زده است. این نسخه با موفقیت از بررسیهای Chrome Web Store عبور کرد و در تاریخ December 24, 2025، ساعت 12:32 p.m. UTC منتشر شد.»چن در پایان گفت پس از کشف این نفوذ، شرکت اقدام به تعلیق دامنه مخرب، منقضیکردن تمام APIهای انتشار و پردازش بازپرداخت برای قربانیان آسیبدیده کرده است. تراست والت در یک بهروزرسانی بعدی از کاربران آسیبدیده خواست تا برای آغاز فرایند جبران خسارت، فرمی را به آدرس زیر:https://be-support.trustwallet.comتکمیل کنند. از قربانیان خواسته شده آدرس ایمیل تماس، کشور محل اقامت، آدرس(های) کیف پول بهخطر افتاده، آدرسی که وجوه به آن تخلیه شده و هشهای تراکنش مربوطه را ارائه دهند.این شرکت هشدار داد: «ما شاهد کلاهبرداریها از طریق تبلیغات تلگرام، فرمهای جعلی ‘جبران خسارت’، حسابهای پشتیبانی جعلشده و پیامهای مستقیم هستیم.» «همیشه لینکها را بررسی کنید، هرگز عبارت بازیابی خود را به اشتراک نگذارید و فقط از کانالهای رسمی تراست والت استفاده کنید.»* منابع:*[1] https://thehackernews.com/2025/12/trust-wallet-chrome-extension-bug.html[2] https://x.com/TrustWallet/status/2004475085168795941#امنیت_سایبری #رمزارز@cyberseclabs | #Cryptocurrency
۹:۳۶
اطلاعرسانی | انتشار نسخه جدید چارچوب AdaptixC2 با تمرکز بر افزایش پایداری و بهبود سرعت عملکرد تاریخ انتشار: 31 دسامبر 2025 متن کامل خبر:AdaptixC2 یک چارچوب متنباز فرماندهی و کنترل (C2) است که بهطور ویژه برای تیمهای قرمز و کارشناسان امنیت سایبری توسعه یافته است. این چارچوب پس از نفوذ به سامانههای هدف، با بهرهگیری از Beacons (کدهای سبکوزنی که روی سامانههای آلوده نصب میشوند) ارتباطی پایدار، امن و مداوم میان سامانه هدف و کارگزار فرماندهی و کنترل برقرار میکند. این ارتباط پنهان، امکان اجرای دستورات از راه دور، جمعآوری اطلاعات سامانه و انجام عملیات پیشرفتهای مانند استخراج اعتبارنامهها (Credential Dumping)، پویش شبکه داخلی و حرکت جانبی (Lateral Movement) را در قالبی کنترلشده و امن فراهم میآورد.انتشار نسخه AdaptixC2 v1.0 نقطه عطفی در مسیر توسعه این پروژه به شمار میآید و بهبودهای قابلتوجهی در زمینه پایداری شبکه، سرعت عملیات و تجربه کاربری فراهم کرده است. این نسخه با تمرکز بر افزایش قابلیت اطمینان، سازگاری با زیرساختهای مدرن و بهبود رابط کاربری، تغییرات کلیدی زیر را ارائه میدهد:• بازنویسی کامل تونلهای SOCKS4 و SOCKS5 در سمت مشتری و کارگزار با رعایت استانداردهای RFC بهمنظور افزایش پایداری در پویش درگاهها و مدیریت بهینه ترافیک تونلشده• افزودن پشتیبانی از IPv6 در SOCKS5 برای سازگاری بهتر با معماریهای نوین شبکه• بازطراحی کامل رابط کاربری شامل پشتیبانی از حالت روشن و تاریک، آیکونهای جدید و برچسبهای شفافتر (مانند TunS برای تونل ازطریق TeamServer)• معرفی ترمینال راهدور جدید با رفتاری مشابه SSH و پیادهسازی Remote Shell• افزودن افزونههای BOF جدید مانند DCSync (استخراج اطلاعات Active Directory)، LDAP (جمعآوری دادهها)، nbtscan (پویش NetBIOS) و runas (اجرای دستورات با هویت کاربری متفاوت) منابع:[1] https://gbhackers.com/adaptixc2-debuts-with-improved-stability-and-speed#امنیت_سایبری@cyberseclabs | #RedTeam #C2_Framework #AdaptixC2
۱۲:۲۷
باتنت RondoDox با سوءاستفاده از React2Shell دامنه فعالیت خود را گسترش میدهد تاریخ انتشار: 5 ژانویه 2026 عاملان تهدید پشت باتنت RondoDox از جمله جدیدترین مهاجمانی هستند که از آسیبپذیری React2Shell سوءاستفاده میکنند و این آسیبپذیری را بهعنوان بردار دسترسی اولیه بهکار میگیرند تا سایر محمولههای مخرب، از جمله ماینرهای رمزارز و یک گونه باتنت مبتنی بر Mirai، را مستقر کنند.پژوهشگران CloudSEK افزایش فعالیت باتنت برای بهرهبرداری از نقص نرمافزار متنباز React — که با شناسه CVE-2025-55182 ردیابی میشود و پلتفرم Next.js را نیز تحت تأثیر قرار میدهد — را شناسایی کردهاند؛ حملاتی که به گفته آنها از دسامبر آغاز شده است. این حملات بخشی از جهش فعالیت RondoDox از زمان ظهور آن در بهار گذشته بوده و تهدیدی جدی برای سازمانها و دستگاهها و شبکههای اینترنت اشیا (IoT) به شمار میروند.سازمانهایی که از Next.js Server Actions استفاده میکنند (بهویژه نسخههایی که در برابر حملات آلودگی نمونه اولیه آسیبپذیر هستند) با ریسک بحرانی RCE (اجرای کد از راه دور) مواجهاند و اخیراً بهرهبرداری فعال از آن مشاهده شده است. به گفته پژوهشگران Rewterz که این فعالیت را ردیابی کردهاند، RondoDox بهطور فعال و مداوم در حال اسکن سرورهای Next.js آسیبپذیر و استقرار چندین محموله است. بر اساس پستی که در روز سال نو منتشر شد، این محمولهها شامل ماینرهای رمزارز، یک لودر باتنت و مؤلفه health-check، و یک گونه باتنت مبتنی بر Mirai هستند. طبق اعلام Rewterz، حدود 90,300 نمونه در معرض این سرورهای آسیبپذیر در سراسر جهان وجود دارد که بیشترین آنها در ایالات متحده، و پس از آن در آلمان، فرانسه و هند قرار دارند. علاوه بر این، این باتنت یک ماژول لودر را رها میکند که «بهطور تهاجمی بدافزارهای رقیب را حذف میکند، هر 45 ثانیه فرایندهای غیرِفهرست سفید را خاتمه میدهد، از طریق cron jobها پایداری ایجاد میکند و از آلودگی مجدد توسط بازیگران رقیب جلوگیری میکند» سازمانهایی که روترهای در معرض اینترنت (DLink، TP-Link، Netgear، Linksys، ASUS)، دوربینهای IP و تجهیزات شبکه دارند، با تلاشهای خودکارِ ساعتی برای بهرهبرداری مواجهاند که میتواند به عضویت در باتنت، مشارکت در DDoS و عملیات استخراج رمزارز روی زیرساختهای سازمانی منجر شود.زنجیره چندمرحلهای حمله با بهرهبرداری از برنامههای وب (مانند WordPress، Drupal، Struts2، WebLogic) برای دسترسی اولیه آغاز میشود و سپس سرقت اعتبارنامهها، حرکت جانبی و هدفگیری زیرساخت IoT را در پی دارد.علاوه بر این، به گفته RondoDox با استقرار باینریها برای معماریهای x86، x86_64، MIPS، ARM و PowerPC و با چندین سازوکار پشتیبان (wget، curl، tftp، ftp)، تهدیدی پایدار برای معماریهای مختلف سرور ایجاد میکند و «تحویل محموله را در محیطهای متنوع سازمانی از جمله نمونههای ابری، دستگاههای لبه و سامانههای تعبیهشده تضمین میکند.» پژوهشگران چندین اقدام کاهش ریسک برای مقابله با حملات RondoDox که React2Shell را هدف میگیرند توصیه کردهاند؛ از جمله وصلهکردن نسخههای آسیبپذیر Next.js و React Server Components برای حذف ریسک RCE، و اعمال بهروزرسانیهای امنیتی برای همه آسیبپذیریهایی که باتنت به سوءاستفاده از آنها معروف است.همچنین سازمانها باید دستگاههای IoT را در VLANهای مجزا بخشبندی کنند تا حرکت جانبی و انتشار باتنت محدود شود و یک دیواره آتش برنامه وب (WAF) برای مسدودسازی تلاشهای بهرهبرداری علیه برنامههای وب مستقر کنند. محدودکردن دسترسی اینترنتی به پنلهای مدیریتی و سرورهای توسعه نیز برای کاهش دسترسی بدون احراز هویت توصیه میشود.سایر اقدامات شامل پایش سامانهها برای اجرای فرایندهای مشکوک و باینریهای ناشناخته مانند ماینرهای رمزارز و لودرهای باتنت؛ شناسایی و حذف cron jobهای مخرب برای جلوگیری از سازوکارهای پایداری؛ مسدودسازی زیرساختهای شناختهشده فرماندهی و کنترل (C2) در سطوح شبکه و فایروال؛ و اجرای اسکن مداوم آسیبپذیریها برای شناسایی سرویسهای در معرض و قدیمی است. منابع:[1] https://www.darkreading.com/vulnerabilities-threats/rondodox-botnet-scope-react2shell-exploitation#امنیت_سایبری #آسیب_پذیری@cyberseclabs | #Vulnerability #React2Shell
۱۲:۳۱
آسیبپذیری بحرانی «MongoBleed» تحت حملات فعال؛ همین حالا بروزرسانی کنید! تاریخ انتشار: 6 ژانویه 2026 مهاجمان بهطور فعال در حال سوءاستفاده از یک آسیبپذیری بحرانی در MongoDB هستند تا اطلاعات حساس را مستقیماً از حافظه سرورهای آسیبدیده سرقت کنند. به نظر میرسد این حملات از تاریخ 29 دسامبر آغاز شدهاند؛ تنها سه روز پس از آنکه کد بهرهبرداری اثبات مفهومی (PoC) این آسیبپذیری بهصورت عمومی منتشر شد. این نقص امنیتی که با شناسه CVE-2025-14847 و با نام «MongoBleed» شناخته میشود، به مهاجمان راه دور اجازه میدهد بدون نیاز به هیچگونه احراز هویت، اطلاعاتی مانند نامهای کاربری و گذرواژهها بهصورت متن ساده، توکنهای احراز هویت و دادههای حساس مشتریان را از حافظه سرور استخراج کنند. شرکت Rapid7 که PoC را آزمایش کرده، اعلام کرده این کد کاملاً عملیاتی و قابلاعتماد است و بنابراین تهدیدی بسیار جدی برای سازمانهایی محسوب میشود که از نمونههای خودمدیریتشده MongoDB استفاده میکنند. محققان Rapid7 در گزارشی در همین هفته از سازمانهای آسیبدیده خواستند فوراً این آسیبپذیری را برطرف کنند و منتظر چرخههای معمول انتشار وصله نمانند. به گفته Rapid7: «با توجه به ماهیت نشت اطلاعات، صرفاً اعمال وصله کافی نیست؛ به سازمانها توصیه میشود تمامی گذرواژهها و اعتبارنامههای پایگاه داده و برنامههایی را که ممکن است پیش از اصلاح در معرض افشا قرار گرفته باشند نیز تعویض کنند.»شرکت MongoDB Inc نخستین بار این مشکل امنیتی را در 19 دسامبر افشا کرد. کمتر از یک هفته بعد، در 26 دسامبر، کد بهرهبرداری عملی آن بهصورت آنلاین منتشر شد و تنها سه روز بعد، آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) سوءاستفاده فعال از آن را در دنیای واقعی تأیید کرد. شدت این آسیبپذیری با امتیاز CVSS معادل 8.7 از 10 ارزیابی شده است، اما Rapid7 هشدار داده که پیامدهای آن برای سازمانهای تحت تأثیر، بحرانی است. آسیبپذیری MongoBleed از یک نشت حافظه در سرورهای MongoDB که برای پیامهای شبکه از الگوریتم فشردهسازی Zlib استفاده میکنند سوءاستفاده میکند؛ پیکربندیای که در بسیاری از محیطهای عملیاتی رایج است. مهاجم میتواند با ارسال بستههای شبکهای دستکاریشده که از فشردهسازی Zlib استفاده میکنند، سرور MongoDB را فریب دهد تا محتوای حافظه خود را نشت دهد؛ از همین رو این آسیبپذیری «MongoBleed» نام گرفته است.آنچه این آسیبپذیری را بهویژه خطرناک میکند این است که هیچگونه احراز هویتی نیاز ندارد. هر مهاجم راه دوری میتواند بدون داشتن اعتبارنامه معتبر یا مجوزهای خاص، از طریق شبکه به این نقص دسترسی پیدا کند. حافظه نشتکرده میتواند حاوی اسرار باارزش بالا از جمله گذرواژهها، کلیدهای API و دادههای مربوط به نشستهای همزمان دیگر پایگاه داده باشد. طیف گستردهای از نسخههای MongoDB را تحت تأثیر قرار دارند؛ از جمله شاخههای 4.4، 5.0، 6.0، 7.0 و 8.0. MongoDB از سازمانهای آسیبدیده میخواهد به نسخههای 8.2.3، 8.0.17، 7.0.28، 6.0.27، 5.0.32 یا 4.4.30 ارتقا دهند.تنها عامل محدودکننده این است که MongoBleed به مهاجمان اجازه میدهد صرفاً حافظه heap مقداردهینشده را سرقت کنند؛ یعنی بخشهایی از RAM سرور که بهدرستی از اطلاعات قبلی پاک نشدهاند. در نتیجه، حملاتی که بهطور هدفمند به دنبال داده مشخصی در حافظه سرور باشند از طریق MongoBleed ممکن نیست. Rapid7 میگوید: «مهاجمان ناچارند به تلاشهای مکرر و شانس برای بهدستآوردن اطلاعات حساس تکیه کنند.» ظهور حملات MongoBleed نشان میدهد که مدیریت وصلهها همچنان یکی از ارکان اصلی دفاع سازمانی است و فاصله زمانی هرچه کوتاهتر بین افشای آسیبپذیری و سوءاستفاده فعال را برجسته میکند. یک تحلیل در سال 2025 توسط Vectra.ai نشان میدهد که میانگین زمان سوءاستفاده از آسیبپذیریهای تازه افشاشده از حدود 63 روز در سالهای 2018–2019 به تنها 5 روز در سال 2024 کاهش یافته است. Vectra.ai همچنین دریافت که بیش از 28% از تمام آسیبپذیریها اکنون ظرف 24 ساعت پس از افشا مورد بهرهبرداری قرار میگیرند. افزون بر این، استفاده فزاینده از هوش مصنوعی در توسعه اکسپلویتها میتواند این بازههای زمانی را باز هم کوتاهتر کند و فشار بیشتری بر تیمهای امنیتی برای واکنش سریع وارد آورد.* منابع:*[1] https://www.darkreading.com/cloud-security/mongobleed-bug-active-attack-patch[2] https://www.rapid7.com/blog/post/etr-mongobleed-cve-2025-1484-critical-memory-leak-in-mongodb-allowing-attackers-to-extract-sensitive-data#امنیت_سایبری #آسیب_پذیری@cyberseclabs | #Vulnerability #MongoBleed
۱۳:۰۶
افشای کمپین فیشینگ جدید؛ سوءاستفاده مهاجمان سایبری از سرویس ایمیل Google Cloud تاریخ انتشار: 2 ژانویه 2026 مهاجمان سایبری یک کمپین فیشینگ جدید را شناسایی کردهاند که در آن از قابلیتهای قانونی سرویس Google Cloud برای ارسال ایمیلهای فریبنده سوءاستفاده میشود. هدف اصلی این حملات، کاربران سازمانها و شرکتهایی است که از سرویسهای ابری گوگل و Microsoft 365 استفاده میکنند. در این کمپین، ایمیلها بهگونهای ارسال میشوند که از دامنهها و زیرساختهای معتبر گوگل استفاده میکنند و همین موضوع باعث میشود شناسایی آنها توسط فیلترهای امنیتی ایمیل دشوار باشد.در این حملات، ایمیلهای ارسالشده کاربران را به صفحات جعلی ورود به Microsoft 365 هدایت میکنند. این صفحات بهشدت شبیه به صفحات اصلی طراحی شدهاند و اطلاعات کاربری واردشده توسط قربانی، مستقیماً در اختیار مهاجمان قرار میگیرد. استفاده از زیرساخت معتبر گوگل باعث میشود قربانیان نسبت به صحت ایمیلها دچار تردید نشوند و احتمال موفقیت حمله افزایش یابد.
بررسیهای فنی نشان میدهد مهاجمان از ترکیبی از فیشینگ هدفمند (spear‑phishing) و سوءاستفاده از ابزارهای قانونی ابری استفاده میکنند تا سازوکارهای امنیتی ایمیل را دور بزنند. در برخی نمونهها، ایمیلها با محتوای هشدار فوری یا پیامهای اضطراری ارسال شدهاند تا کاربران را وادار به اقدام سریع و کلیک روی لینکهای مخرب کنند.
تحلیلگران امنیت سایبری هشدار دادهاند که این نوع حملات به دلیل اتکا به زیرساختهای معتبر ابری، یکی از تهدیدات پیچیده و روبهافزایش علیه سازمانها محسوب میشود. آنها تأکید کردهاند که استفاده از احراز هویت چندمرحلهای، افزایش آگاهی کاربران و بررسی دقیق لینکهای دریافتی میتواند نقش مهمی در کاهش خطر این حملات داشته باشد.
این کمپین نمونهای از تغییر تاکتیک مهاجمان سایبری است که بهجای استفاده از زیرساختهای مشکوک، از سرویسهای قانونی و معتبر برای افزایش نرخ موفقیت حملات خود بهره میبرند؛ رویکردی که میتواند چالشهای جدیتری برای امنیت ایمیل سازمانها ایجاد کند.
منابع:[1] https://thehackernews.com/2026/01/cybercriminals-abuse-google-cloud-email.html[2] https://www.malwarebytes.com/blog/news/2026/01/phishing-campaign-abuses-google-cloud-services-to-steal-microsoft-365-logins
#CyberSecurity #PhishingAttack #GoogleCloud #EmailSecurity #Microsoft365 #CyberThreat #InfoSec@cyberseclabs
۷:۵۶
افشای دو افزونه مخرب کروم؛ سرقت مکالمات ChatGPT و DeepSeek از ۹۰۰,۰۰۰ کاربر تاریخ انتشار: 6 ژانویه 2026 محققان امنیت سایبری دو افزونه مخرب را در Chrome Web Store کشف کردهاند که برای سرقت مکالمات کاربران با هوش مصنوعی و همچنین دادههای مرورگر طراحی شدهاند و اطلاعات سرقتشده را به سرورهای مهاجم ارسال میکنند. این دو افزونه مجموعاً بیش از ۹۰۰,۰۰۰ کاربر دارند.نام این افزونهها به ترتیب زیر است:Chat GPT for Chrome with GPT 5, Claude Sonnet & DeepSeek AI با بیش از ۶۰۰,۰۰۰ نصب،و AI Sidebar with Deepseek, ChatGPT, Claude, and more با بیش از ۳۰۰,۰۰۰ نصب.محققان OX Security گزارش دادهاند که این افزونهها چتهای OpenAI ChatGPT و DeepSeek و همچنین فعالیتهای مرورگر را به سرورها کنترلشده توسط مهاجمان ارسال میکنند. این نوع تکنیک جمعآوری مکالمات کاربر با مدلهای هوش مصنوعی پیشرفته، بهصورت پنهان در پسزمینه انجام میشود و این روند را تحلیلگران «Prompt Poaching» نامیدهاند.این افزونههای مخرب با درخواست دسترسی به دادههای مرورگر تحت عنوان «تحلیلهای ناشناس و غیرقابل شناسایی» از کاربران مجوز میگیرند، اما در عمل محتوای کامل مکالمات ChatGPT و DeepSeek را از صفحه استخراج میکنند، ذخیره میکنند و سپس آن را هر ۳۰ دقیقه یکبار به سرورهای مهاجم ارسال میکنند. سرورهای مقصد، از جمله دامنههایی مانند chatsaigpt[.]com و deepaichats[.]com هستند که برای این منظور راهاندازی شدهاند.برای کسب اعتماد کاربران، این دو افزونه رفتار و ظاهر خود را شبیه به یک افزونه مشروع به نام "Chat with all AI models (Gemini, Claude, DeepSeek...) & AI Agents" از شرکت AITOPIA طراحی کردهاند، که حدود ۱ میلیون کاربر دارد. در زمان نگارش این خبر، این افزونهها هنوز در فروشگاه کروم در دسترس هستند، اگرچه یکی از آنها نشان «Featured» (انتخابشده) خود را از دست داده است.هنگامی که این افزونهها نصب میشوند، از کاربر میخواهند که مجوز جمعآوری رفتارهای مرورگر را بدهد تا تجربه نوار جانبی (sidebar) را بهبود ببخشند، اما به محض قبول این درخواست، بدافزار شروع به جمعآوری دادههای مکالمه و URLهای بازدیدشده میکند.تهدیدکنندگان از پلتفرم توسعه وب هوش مصنوعی «Lovable» برای میزبانی صفحات سیاست حفظ حریم خصوصی و بخشهای دیگر زیرساخت خود استفاده کردهاند تا فعالیتهای مخرب را پنهان و مشروع جلوه دهند. این تاکتیک به مهاجمان کمک میکند تا بررسیها و شناسایی رفتار مخرب افزونهها را برای مدت طولانیتر دور بزنند.نصب و استفاده از این افزونهها میتواند پیامدهای گسترده و جدی داشته باشد، زیرا دادههای ظاهراً بیضرر مانند مکالمات چت یا آدرسهای بازدیدشده میتوانند برای جاسوسی شرکتی، سرقت هویت، کمپینهای فیشینگ هدفمند یا حتی فروش در بازارهای زیرزمینی اینترنتی مورد سوءاستفاده قرار گیرند.محققان امنیتی هشدار دادهاند که سازمانها و کاربران ممکن است بدون اطلاع از این موضوع اطلاعات حساس، از جمله مالکیت فکری و اطلاعات محرمانه را در معرض خطر قرار داده باشند.علاوه بر این، Secure Annex اشاره کرده است که افزونههای مشروع و معروف دیگری مانند Similarweb و Stayfocusd نیز در حوزه جمعآوری دادههای AI چت مشارکت کردهاند، هرچند با مجوز صریح دادهها از کاربران، که نشان میدهد این نوع تکنیکها در حال گسترش بوده و ممکن است به یک روند معمول در اکوسیستم افزونههای مرورگر تبدیل شوند.کارشناسان امنیتی به کاربران توصیه میکنند که این افزونههای مخرب را فوراً از مرورگر خود حذف کنند و در انتخاب افزونهها حتی در فروشگاه رسمی Google Chrome Web Store نیز بسیار محتاط باشند و تنها به افزونههای معتبر و بررسیشده اعتماد کنند. منابع:[1] https://thehackernews.com/2026/01/two-chrome-extensions-caught-stealing.html[2] https://www.oxsecurity.com/blog/chrome-extensions-stealing-ai-chat
#CyberSecurity #ChromeExtensions #DataTheft #ChatGPT #DeepSeek #BrowserSecurity #PrivacyThreat
@cyberseclabs۱۵:۰۸
Cisco وصله امنیتی برای رفع نقص افشای اطلاعات در Identity Services Engine (ISE) منتشر کرد تاریخ انتشار: 8 ژانویه 2026 متن خبر:شرکت Cisco در یک اطلاعیه امنیتی از انتشار بهروزرسانی برای رفع یک آسیبپذیری با شدت متوسط در محصولات Identity Services Engine (ISE) و ISE Passive Identity Connector (ISE-PIC) خبر داد. این آسیبپذیری که با شناسه CVE-2026-20029 ثبت شده است، به مهاجمان دارای دسترسی مدیریتی معتبر اجازه میدهد از طریق پردازش نادرست دادههای XML در رابط مدیریتی تحت وب، به اطلاعاتی دسترسی پیدا کنند که طبق طراحی نباید در دسترس آنها قرار گیرد.این نقص در بخش مدیریت لایسنس محصولات ISE ریشه دارد و در صورت سوءاستفاده میتواند منجر به افشای اطلاعات حساس شود. هرچند این آسیبپذیری امکان اجرای مستقیم کد از راه دور را فراهم نمیکند، اما میتواند بهعنوان مرحلهای اولیه برای حملات پیچیدهتر مورد استفاده قرار گیرد. Cisco تأیید کرده است که کد اثبات مفهومی (PoC) این آسیبپذیری بهصورت عمومی منتشر شده، موضوعی که سطح ریسک را افزایش میدهد، هرچند تا زمان انتشار خبر شواهدی از بهرهبرداری گسترده در حملات واقعی گزارش نشده است.Cisco اعلام کرده است که هیچ راهحل موقتی برای کاهش این آسیبپذیری وجود ندارد و تنها راهکار مؤثر، نصب بهروزرسانیهای امنیتی رسمی است. نسخههای قدیمیتر ISE و ISE-PIC تحت تأثیر این نقص قرار دارند و کاربران باید هرچه سریعتر به نسخههای اصلاحشده مهاجرت کنند. این شرکت همچنین همزمان دو آسیبپذیری دیگر مرتبط با Snort 3 Detection Engine را نیز برطرف کرده است که میتوانند منجر به افشای اطلاعات یا ایجاد اختلال در سرویسهای امنیتی شوند.با توجه به نقش حیاتی Cisco ISE در کنترل دسترسی و مدیریت هویت شبکههای سازمانی، تأخیر در اعمال وصلههای امنیتی میتواند پیامدهای جدی برای امنیت زیرساختهای فناوری اطلاعات به همراه داشته باشد. منابع:[1] https://thehackernews.com/2026/01/cisco-patches-ise-security.html
#Cisco_ISE #CyberSecurity #SecurityPatch#InformationDisclosure #NetworkSecurity #IdentityManagement #PatchManagement
@cyberseclabs۱۵:۱۰
خبر | آمار شرکتها یا پلتفرمهای دارای بیشترین تعداد آسیبپذیری در آذر ماه ۱۴۰۴ تاریخ انتشار: ۱۹ دی ۱۴۰۴ مرجع: بولتن تحلیلی هوش تهدید سایبری (آذر ۱۴۰۴) - مرکز تخصصی آپای علم و صنعت#هوش_تهدید_سایبری | #بولتن_تحلیلی
@cyberseclabs۶:۱۱
خبر | آمار محصولات دارای بیشتر تعداد آسیبپذیری در یک آذر ماه ۱۴۰۴ تاریخ انتشار: ۱۹ دی ۱۴۰۴ مرجع: بولتن تحلیلی هوش تهدید سایبری (آذر ۱۴۰۴) - مرکز تخصصی آپای علم و صنعت#هوش_تهدید_سایبری | #بولتن_تحلیلی
@cyberseclabs۶:۱۱
خبر | آمار گواهینامههای امنیتی صادر شده برای محصولات به تفکیک آزمایشگاه ارزیاب تاریخ انتشار: ۱۹ دی ۱۴۰۴بر اساس آمارهای موجود در وب سایت مرکز مدیریت راهبردی افتا، تعداد گواهینامههای امنیتی صادره از سال 1402 الی 1 دی ماه 1404 بهصورت تفکیک شده مطابق جدول فوق است. بر اساس این آمار، آزمایشگاه آزمون و ارزیابی امنیتی تجهیزات شبکه و امنیت دانشگاه صنعتی شریف دارای بالاترین عملکرد از نظر تعداد گواهینامههای صادره بوده و در مرتبه بعد آزمایشگاه امنیت پژوهشگاه ارتباطات و فناوری اطلاعات (مرکز تحقیقات مخابرات) قرار دارد.
مرجع:گواهی محصولات، مرکز مدیریت راهبردی افتا، URL: https://afta.gov.ir/product_certificate @cyberseclabs۶:۱۲
هشدار امنیتی | انتشار نسخه جدید ابزار ErrTraffic با هدف خودکارسازی حملات ClickFix تاریخ انتشار: 20 ژانویه 2025 جزئیات هشدار:نسخه جدید ابزار ErrTraffic در بازارهای زیرزمینی منتشر شده است. این ابزار به مهاجمان امکان میدهد «خطاهای جعلی» را در وبگاههای آلوده تزریق کرده و از این طریق کاربران را فریب دهند. در زمان ورود به این وبگاهها، کاربر با جلوههای بصری مخدوش مانند متنهای نامفهوم یا فونتهای ناموجود مواجه میشود. سپس پنجرهای جعلی با عناوینی نظیر «بهروزرسانی مرورگر» یا «نصب فونت» نمایش داده میشود و کاربر را ترغیب میکند تا یک دستور PowerShell را اجرا کند. اجرای این دستور در نهایت باعث نصب بدافزارهای سرقت اطلاعات مانند Lumma Stealer، Vidar، AMOS Stealer یا Cerberus روی دستگاه قربانی میشود. این بدافزارها میتوانند طیف گستردهای از دادههای حساس مانند گذرواژههای ذخیرهشده در مرورگرها، کوکیها و نشستهای وب، اطلاعات بانکی و کلیدهای خصوصی کیفپولهای رمزارز را جمعآوری کنند. در برخی موارد، بهویژه در دستگاههای اندرویدی، مهاجمان میتوانند حتی کنترل سامانه را از راه دور به دست آورند. پیامدهای این حملات بسیار جدی است، زیرا میتواند به نشت گسترده دادههای شخصی و سازمانی، سرقت مستقیم داراییهای مالی از حسابهای بانکی و کیفپولهای دیجیتال، بهرهبرداری از دستگاههای آلوده برای اجرای حملات ثانویه (مانند حملات DDoS) و در نهایت افزایش خطر باجگیری و اخاذی سایبری منجر شود. محصولات آسیبپذیر:• سیستمعاملهای ویندوز، macOS، اندروید و لینوکس• مرورگرهای Google Chrome و Microsoft Edge• وبگاههایی با امکان تزریق کدهای جاوااسکریپت مخرب• سامانههای مدیریت محتوا (CMS) با اعتبارنامههای ضعیف یا افشاشده راهکارها و اقدامات امنیتی پیشنهادی:• آموزش کاربران برای پرهیز از اجرای دستورات ناشناس یا مشکوک در محیطهای PowerShell یا Command Prompt• استفاده از راهکارهای امنیتی بهروز و مجهز به قابلیتهای EDR/XDR• استفاده از WAF برای تشخیص و مسدودسازی الگوهای رفتاری مخرب• محدودسازی و کنترل اجرای اسکریپتهای خارجی در محیطهای حساس و سامانههای حیاتی منابع:[1] https://www.scworld.com/brief/automated-clickfix-intrusions-facilitated-by-novel-errtraffic-tool[2] https://teamwin.in/new-cybercrime-tool-errtraffic-let-attackers-automate-clickfix-attacks#امنیت_سایبری | #بدافزار | #سرقت_اطلاعات | #ClickFix
@cyberseclabs۶:۱۳
هشدار امنیتی | شناسایی نسخه جدید بدافزار Shai Hulud در مخزن npm تاریخ انتشار: 22 ژانویه 2026 جزئیات هشدار:پژوهشگران امنیتی موفق به شناسایی نسخه جدیدی از بدافزار Shai Hulud شدهاند که در مخزن npm با نام بسته vietmoney/react-big-calendar منتشر شده است. این نسخه بازنویسیشده نشان میدهد مهاجمان به کد منبع اصلی بدافزار دسترسی مستقیم دارند و میتوانند آن را متناسب با نیازهای خود تغییر دهند.این بدافزار از نوع کرم (Worm) است؛ بدین معنا که پس از آلودهسازی یک سامانه یا پروژه، میتواند بهصورت خودکار تکثیر شده و سایر بستهها یا مخزنهای مرتبط را آلوده کند. عملکرد آن شامل چند مرحله کلیدی است:• آلودگی اولیه*: با نصب بسته آلوده در پروژه، فایلهای مخربی مانند bun_installer.js و environment_source.js اجرا شده و بستر لازم برای سرقت دادهها فراهم میشود.• *سرقت توکنها*: بدافزار بهطور هدفمند بهدنبال توکنهای دسترسی GitHub و npm است تا از طریق آنها به مخزنها و پروژههای قربانی نفوذ کرده و آنها را آلوده کند.
• *گسترش خودکار*: با سوءاستفاده از ابزارهایی مانند GitHub Actions یا اسکریپتهای CI/CD، بدافزار میتواند بهصورت زنجیرهای پروژههای دیگر را آلوده کند.
• *پنهانسازی و پایداری*: در نسخه جدید، مهاجمان با حذف سازوکار «Dead Man Switch» و بهبود مدیریت خطا در ابزار TruffleHog پایداری و ماندگاری حمله را افزایش دادهاند. این تغییرات موجب میشود بدافزار کمتر دچار توقف یا شکست ناگهانی شود.
*
محصولات آسیبپذیر:• نسخههای قدیمی Linux و macOS• سامانهها و پروژههایی که از بسته vietmoney/react-big-calendar استفاده میکنند• حسابها و مخزنهایی که توکنهای دسترسی GitHub و npm آنها به سرقت رفته باشد• پروژههایی که از ابزار TruffleHog یا زیرساخت GitHub Actions در فرایندهای CI/CD استفاده میکنند راهکارها و اقدامات امنیتی پیشنهادی:• وابستگیهای پروژههای خود را بهصورت دورهای بررسی کرده و درصورت شناسایی بسته آلوده، نسبت به حذف آن اقدام نمایید.• فعالیتهای مشکوک در مخزنهای GitHub، بهویژه مواردی با توضیح یا امضای «Goldox-T3chs: Only Happy Girl» را بهدقت پایش کنید.• توکنهای دسترسی GitHub و npm را بازبینی کرده و درصورت نیاز آنها را ابطال و دوباره ایجاد نمایید.• از ابزارهای مدیریت و تحلیل وابستگی مانند Black Duck یا Spectra Assure برای پویش خودکار تهدیدات و شناسایی بستههای مخرب استفاده کنید.• از نصب بستههای ناشناخته یا کماستفاده در npm بدون انجام بررسیهای امنیتی و اعتبارسنجی دقیق خودداری نمایید. منابع:[1] https://www.reversinglabs.com/blog/shai-hulud-worm-npm[2] https://www.blackduck.com/blog/npm-malware-attack-shai-hulud-threat.html#امنیت_نرمافزار | #بدافزار | #ShaiHulud | #npm
@cyberseclabs۲۰:۳۷