بله | کانال آگاهی‌رسانی آزمایشگاه‌های امنیت سایبری
عکس پروفایل آگاهی‌رسانی آزمایشگاه‌های امنیت سایبریآ

آگاهی‌رسانی آزمایشگاه‌های امنیت سایبری

۱۶ عضو
لوگوی پیام رسان بلهدانلود «بله»
undefined هشدار امنیتی | انتشار نسخه جدید ابزار ErrTraffic با هدف خودکارسازی حملات ClickFix
undefined تاریخ انتشار: 20 ژانویه 2025
undefined جزئیات هشدار:نسخه جدید ابزار ErrTraffic در بازارهای زیرزمینی منتشر شده است. این ابزار به مهاجمان امکان می‌دهد «خطاهای جعلی» را در وبگاه‌های آلوده تزریق کرده و از این طریق کاربران را فریب دهند. در زمان ورود به این وبگاه‌ها، کاربر با جلوه‌های بصری مخدوش مانند متن‌های نامفهوم یا فونت‌های ناموجود مواجه می‌شود. سپس پنجره‌ای جعلی با عناوینی نظیر «به‌روزرسانی مرورگر» یا «نصب فونت» نمایش داده می‌شود و کاربر را ترغیب می‌کند تا یک دستور PowerShell را اجرا کند. اجرای این دستور در نهایت باعث نصب بدافزارهای سرقت اطلاعات مانند Lumma Stealer، Vidar، AMOS Stealer یا Cerberus روی دستگاه قربانی می‌شود. این بدافزارها می‌توانند طیف گسترده‌ای از داده‌های حساس مانند گذرواژه‌های ذخیره‌شده در مرورگرها، کوکی‌ها و نشست‌های وب، اطلاعات بانکی و کلیدهای خصوصی کیف‌پول‌های رمزارز را جمع‌آوری کنند. در برخی موارد، به‌ویژه در دستگاه‌های اندرویدی، مهاجمان می‌توانند حتی کنترل سامانه را از راه دور به دست آورند. پیامدهای این حملات بسیار جدی است، زیرا می‌تواند به نشت گسترده داده‌های شخصی و سازمانی، سرقت مستقیم دارایی‌های مالی از حساب‌های بانکی و کیف‌پول‌های دیجیتال، بهره‌برداری از دستگاه‌های آلوده برای اجرای حملات ثانویه (مانند حملات DDoS) و در نهایت افزایش خطر باج‌گیری و اخاذی سایبری منجر شود.
undefined محصولات آسیب‌پذیر:• سیستم‌عامل‌های ویندوز، macOS، اندروید و لینوکس• مرورگرهای Google Chrome و Microsoft Edge• وبگاه‌هایی با امکان تزریق کدهای جاوااسکریپت مخرب• سامانه‌های مدیریت محتوا (CMS) با اعتبارنامه‌های ضعیف یا افشاشده
undefined راهکارها و اقدامات امنیتی پیشنهادی:• آموزش کاربران برای پرهیز از اجرای دستورات ناشناس یا مشکوک در محیط‌های PowerShell یا Command Prompt• استفاده از راهکارهای امنیتی به‌روز و مجهز به قابلیت‌های EDR/XDR• استفاده از WAF برای تشخیص و مسدودسازی الگوهای رفتاری مخرب• محدودسازی و کنترل اجرای اسکریپت‌های خارجی در محیط‌های حساس و سامانه‌های حیاتی
undefined منابع:[1] https://www.scworld.com/brief/automated-clickfix-intrusions-facilitated-by-novel-errtraffic-tool[2] https://teamwin.in/new-cybercrime-tool-errtraffic-let-attackers-automate-clickfix-attacks
#امنیت_سایبری | #بدافزار | #سرقت_اطلاعات | #ClickFix
undefined @cyberseclabs

۶:۱۳

undefined هشدار امنیتی | شناسایی نسخه جدید بدافزار Shai Hulud در مخزن npm
undefined تاریخ انتشار: 22 ژانویه 2026
undefined جزئیات هشدار:پژوهشگران امنیتی موفق به شناسایی نسخه جدیدی از بدافزار Shai Hulud شده‌اند که در مخزن npm با نام بسته‌ vietmoney/react-big-calendar منتشر شده است. این نسخه بازنویسی‌شده نشان می‌دهد مهاجمان به کد منبع اصلی بدافزار دسترسی مستقیم دارند و می‌توانند آن را متناسب با نیازهای خود تغییر دهند.این بدافزار از نوع کرم (Worm) است؛ بدین معنا که پس از آلوده‌سازی یک سامانه یا پروژه، می‌تواند به‌صورت خودکار تکثیر شده و سایر بسته‌ها یا مخزن‌های مرتبط را آلوده کند. عملکرد آن شامل چند مرحله کلیدی است:آلودگی اولیه: با نصب بسته آلوده در پروژه، فایل‌های مخربی مانند bun_installer.js و environment_source.js اجرا شده و بستر لازم برای سرقت داده‌ها فراهم می‌شود.سرقت توکن‌ها: بدافزار به‌طور هدفمند به‌دنبال توکن‌های دسترسی GitHub و npm است تا از طریق آن‌ها به مخزن‌ها و پروژه‌های قربانی نفوذ کرده و آن‌ها را آلوده کند.گسترش خودکار: با سوءاستفاده از ابزارهایی مانند GitHub Actions یا اسکریپت‌های CI/CD، بدافزار می‌تواند به‌صورت زنجیره‌ای پروژه‌های دیگر را آلوده کند.پنهان‌سازی و پایداری: در نسخه جدید، مهاجمان با حذف سازوکار «Dead Man Switch» و بهبود مدیریت خطا در ابزار TruffleHog پایداری و ماندگاری حمله را افزایش داده‌اند. این تغییرات موجب می‌شود بدافزار کمتر دچار توقف یا شکست ناگهانی شود.
undefined محصولات آسیب‌پذیر:• نسخه‌های قدیمی Linux و macOS• سامانه‌ها و پروژه‌هایی که از بسته vietmoney/react-big-calendar استفاده می‌کنند• حساب‌ها و مخزن‌هایی که توکن‌های دسترسی GitHub و npm آن‌ها به سرقت رفته باشد• پروژه‌هایی که از ابزار TruffleHog یا زیرساخت GitHub Actions در فرایندهای CI/CD استفاده می‌کنند
undefined راهکارها و اقدامات امنیتی پیشنهادی:• وابستگی‌های پروژه‌های خود را به‌صورت دوره‌ای بررسی کرده و درصورت شناسایی بسته آلوده، نسبت به حذف آن اقدام نمایید.• فعالیت‌های مشکوک در مخزن‌های GitHub، به‌ویژه مواردی با توضیح یا امضای «Goldox-T3chs: Only Happy Girl» را به‌دقت پایش کنید.• توکن‌های دسترسی GitHub و npm را بازبینی کرده و درصورت نیاز آن‌ها را ابطال و دوباره ایجاد نمایید.• از ابزارهای مدیریت و تحلیل وابستگی مانند Black Duck یا Spectra Assure برای پویش خودکار تهدیدات و شناسایی بسته‌های مخرب استفاده کنید.• از نصب بسته‌های ناشناخته یا کم‌استفاده در npm بدون انجام بررسی‌های امنیتی و اعتبارسنجی دقیق خودداری نمایید.
undefined منابع:[1] https://www.reversinglabs.com/blog/shai-hulud-worm-npm[2] https://www.blackduck.com/blog/npm-malware-attack-shai-hulud-threat.html
#امنیت_نرم‌افزار | #بدافزار | #ShaiHulud | #npmundefined @cyberseclabs

۲۰:۳۷

undefined مایکروسافت برای یک آسیب‌پذیری Zero-Day آفیس، وصله اضطراری منتشر کرد
undefined تاریخ انتشار: 27 ژانویه 2026
undefined مایکروسافت به‌سرعت یک وصله اضطراری برای یک آسیب‌پذیری امنیتی در چندین نسخه از Microsoft Office و Microsoft 365 منتشر کرده است که مهاجمان به‌طور فعال در حال سوءاستفاده از آن هستند. این باگ روز-صفر (Zero-Day) با شناسه CVE-2026-21509 (امتیاز CVSS برابر با 7.8) به مهاجمان اجازه می‌دهد کنترل‌های امنیتی Microsoft 365 و Office را که برای محافظت در برابر رفتارهای ناامن COM/OLE طراحی شده‌اند دور بزنند و کد دلخواه را روی سیستم‌های آسیب‌پذیر اجرا کنند.
undefined برای بهره‌برداری از این آسیب‌پذیری، مهاجم یا باید از قبل به یک سیستم دسترسی داشته باشد یا یک فایل آفیس مخرب برای کاربر ارسال کرده و او را متقاعد کند که آن را باز کند. برخلاف بسیاری از آسیب‌پذیری‌های قبلی آفیس، صرف مشاهده یک فایل آفیس مخرب در Preview Pane باعث فعال شدن CVE-2026-21509 نمی‌شود و برای بهره‌برداری موفق به تعامل کاربر متکی است؛ که نشان می‌دهد که مهندسی اجتماعی همچنان یک عنصر حیاتی در بسیاری از زنجیره‌های حمله باقی مانده است. به گفته مایکروسافت، بهره‌برداری موفق می‌تواند محرمانگی، یکپارچگی و در دسترس‌بودن سیستم‌های آسیب‌دیده را به‌طور کامل به خطر بیندازد.
undefined آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) این باگ را به فهرست آسیب‌پذیری‌های شناخته‌شده و مورد سوءاستفاده (KEV) اضافه کرده و به آژانس‌های فدرال شاخه اجرایی غیرنظامی تا تاریخ 16 فوریه مهلت داده است که یا این مشکل را وصله کنند یا تا زمان اعمال وصله، استفاده از محصولات آسیب‌دیده را متوقف نمایند. شرکت امنیتی Cytex این آسیب‌پذیری را از نظر بهره‌برداری پیچیده ارزیابی کرده و احتمال داده است که شامل یک زنجیره حمله چندمرحله‌ای باشد که معمولاً با حملات بسیار هدفمند مرتبط است. Cytex در شبکه X اعلام کرد: «ماهیت آن نشان می‌دهد که ابزاری برای تهدیدات پیشرفته و پایدار (APT) است.» این شرکت افزود: «ویژگی‌های کلیدی به فعالیت‌های جاسوسی با حمایت دولتی یا با انگیزه‌های مالی اشاره دارد»، که شامل مهندسی اجتماعی هدفمند علیه قربانیان بالقوه با ارزش بالا می‌شود.
undefined سازمان‌هایی که از Office 2021 و نسخه‌های جدیدتر استفاده می‌کنند، به‌جز راه‌اندازی مجدد برنامه‌های آفیس، نیازی به اقدام دیگری ندارند؛ زیرا مایکروسافت اصلاح این آسیب‌پذیری را در سمت سرور پیاده‌سازی کرده است. اما مشتریان Office 2016 و 2019 باید برای محافظت در برابر این تهدید، به‌روزرسانی امنیتی را نصب کنند. در اطلاعیه مایکروسافت، تغییرات و افزوده‌هایی به برخی کلیدهای رجیستری ویندوز فهرست شده است که سازمان‌های استفاده‌کننده از این نسخه‌ها می‌توانند برای مسدودسازی فوری تلاش‌های بهره‌برداری اعمال کنند.
undefined منابع:[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509[2] https://www.darkreading.com/vulnerabilities-threats/microsoft-rushes-emergency-patch-office-zero-day
#امنیت_سایبری #آسیب_پذیری
undefined @cyberseclabs | #Vulnerability #Microsoft_Office

۹:۴۵

undefined دومین دور از باگ‌های بحرانی RCE در n8n
undefined تاریخ انتشار: 30 ژانویه 2026
undefined برای دومین بار در کمتر از یک ماه، آسیب‌پذیری‌های بحرانی در n8n، یک پلتفرم خودکارسازی جریان کاری (Workflow) low-code مبتنی بر هوش مصنوعی که بسیاری از سازمان‌ها برای ادغام مدل‌های زبان بزرگ (LLMها) در فرآیندهای تجاری به آن وابسته‌اند، کشف شده است. n8n به سازمان‌ها امکان می‌دهد جریان‌های کاری را در بین برنامه‌ها، سرویس‌ها و منطق سفارشی خودکار کنند، از جمله فروش، استخدام در بخش منابع انسانی و سیستم تیکتینگ پشتیبانی مشتری. به دلیل نقش آن به عنوان یک هاب که اطلاعات ورود به سیستم برای سیستم‌های متصل را ذخیره می‌کند، هر گونه نفوذ به n8n می‌تواند دسترسی مهاجمان به پلتفرم‌های CRM، پایگاه‌های داده، فضای ابری، ابزارهای ارتباطی و سایر سیستم‌های یکپارچه را فراهم کند و به یک ریسک عمده برای شرکت‌ها تبدیل شود.
undefined آسیب‌پذیری‌های اخیر که توسط محققان JFrog گزارش شده‌اند، بر مکانیزم‌های sandbox n8n تأثیر می‌گذارند و به مهاجمان امکان عبور از کنترل‌های امنیتی و اجرای کامل کد از راه دور (RCE) روی میزبان اصلی را می‌دهند. یکی از آسیب‌پذیری‌ها، CVE-2026-1470، دارای امتیاز بحرانی 9.9 است و دیگری، CVE-2026-0863، امتیاز بالا 8.5 را دریافت کرده است. n8n هر دو نقص را برطرف کرده و به کاربران توصیه می‌شود فوراً به‌روزرسانی کنند. CVE-2026-1470 تمامی نسخه‌های پیش از 1.123.17، 2.4.5، یا 2.5.1 را تحت تأثیر قرار می‌دهد، در حالی که CVE-2026-0863 نسخه‌های پیش از 1.123.14، 2.3.5، یا 2.4.2 را تحت تأثیر قرار می‌دهد.
undefined ‏CVE-2026-1470 از نحوه مدیریت ورودی‌های ارائه‌شده توسط کاربر در داخل جریان‌های کاری ناشی می‌شود. با سوءاستفاده از یک ویژگی منسوخ‌شده جاوااسکریپت، مهاجمان می‌توانند کد مخرب را هنگام بررسی ایمن نشان دهند اما در زمان اجرا رفتار مخرب داشته باشد و محافظت‌های پلتفرم را دور بزنند. CVE-2026-0863 عملکرد اجرای پایتون n8n را هدف قرار می‌دهد و به مهاجمان امکان می‌دهد پیام‌های خطا را به توابع معمولاً محدود ارسال کرده و دستورات دلخواه را هنگام اجرای کد مستقیم روی سرور و نه در یک کانتینر اجرا کنند.
undefined پیامدهای احتمالی بهره‌برداری از این آسیب‌پذیری‌ها گسترده است. طی دو سال گذشته، سازمان‌ها به طور فزاینده‌ای از n8n برای ادغام LLMها در جریان‌های کاری استفاده کرده‌اند، با حدود 3,000 مشتری سازمانی و بیش از 230,000 کاربر فعال. ناتان ناهورای، محقق JFrog، توضیح داد که مهاجمانی که قادر به ایجاد جریان‌های کاری در n8n هستند می‌توانند از این نقص‌ها برای به دست آوردن RCE کامل روی استقرارهای ابری و خود میزبانی شده بهره‌برداری کنند.بهره‌برداری می‌تواند منجر به کنترل کامل n8n، افشای اطلاعات ورود و کلیدهای API و حرکت جانبی احتمالی به سایر سیستم‌های متصل شود. کارشناسان امنیتی تأکید می‌کنند که حداقل کردن امتیازات اجرا، جدا کردن اطلاعات ورود LLM از سایر اطلاعات سیستم، اعتبارسنجی ورودی قبل از ارسال به LLMها و حفظ ثبت‌های کامل برای بررسی‌های قضایی ضروری است. همچنین توصیه می‌شود جریان‌های کاری کانتینری شوند و دفاع‌های چندلایه فراتر از اعتبارسنجی استاتیک پیاده‌سازی شود تا ریسک کاهش یابد.این آسیب‌پذیری‌ها اندکی پس از CVE-2026-21858 با نام “Ni8mare” رخ داده‌اند، یک RCE بحرانی بدون احراز هویت که n8nهای محلی را تحت تأثیر قرار می‌دهد. آن حادثه اهمیت قطع اتصال از اینترنت، اعمال احراز هویت قوی و مدیریت دقیق امتیازات اجرا را برجسته کرد.
undefined محبوبیت رو به رشد n8n ناشی از کتابخانه گسترده Connectorها، سازنده جریان کاری بصری و قابلیت‌های خودمیزبانی است که داده‌های حساس را داخلی نگه می‌دارد. با این حال، این مزایا همچنین پلتفرم‌های خودکارسازی جریان کاری را به اهداف با ارزش تبدیل می‌کنند. کارشناسان توصیه می‌کنند امنیت sandbox به طور مداوم بازبینی شود، مدیریت امتیازات با دقت انجام گیرد، جریان‌های کاری کانتینری شوند و ورودی‌ها اعتبارسنجی شوند تا تهدیدات در حال تکامل در محیط‌های سازمانی مجهز به AI کاهش یابد.
undefined منابع:
[1] https://research.jfrog.com/post/achieving-remote-code-execution-on-n8n-via-sandbox-escape#امنیت_سایبری #آسیب_پذیری
undefined @cyberseclabs | #Vulnerability #n8n

۹:۴۶

undefined هکرهای چینی به‌مدت 6 ماه به‌روزرسانی‌های نرم‌افزار Notepad++ را ربودند
undefined تاریخ انتشار: 2 فوریه 2026
undefined یک عامل تهدید مرتبط با چین به‌طور مخفیانه مکانیسم به‌روزرسانی نرم‌افزار Notepad++ را برای نزدیک به شش ماه در سال 2025 ربود و برخی کاربران را به دانلودهای مخرب در یک حمله پیچیده زنجیره تامین هدایت کرد. این نفوذ که از ژوئن تا دسامبر 2025 ادامه داشت، شامل آسیب‌پذیری در کد منبع یا مسیر ساخت Notepad++ نبود. در عوض، مهاجمان زیرساخت‌های یک ارائه‌دهنده میزبانی شخص ثالث را به‌خطر انداختند و به آن‌ها اجازه داد ترافیک به‌روزرسانی‌های مربوط به دامنه قانونی notepad-plus-plus.org را رهگیری و به‌طور انتخابی هدایت کنند.
undefined‏ Notepad++ یک ویرایشگر متن و کد منبع متن‌باز است که از زمان انتشارش در 2003 ده‌ها میلیون بار دانلود شده است. این نرم‌افزار همچنان در میان توسعه‌دهندگان، مدیران سیستم و حرفه‌ای‌های IT محبوب است و آن را به یک هدف با ارزش بالا تبدیل می‌کند. از آنجا که مکانیسم‌های به‌روزرسانی با اعتماد بالایی عمل می‌کنند، به‌خطر افتادن آن‌ها می‌تواند به مهاجمان نفوذ قدرتمندی در محیط‌های توسعه سازمان‌ها بدهد.به گفته دن هو، نگهدارنده اصلی Notepad++، مهاجمان در ژوئن 2025 به سروری که WinGUp updater را میزبانی می‌کرد دسترسی پیدا کردند. آن‌ها درخواست‌های به‌روزرسانی کاربران هدفمند را به سرورهای تحت کنترل خود هدایت کردند که فایل‌های اجرایی مخرب ارائه می‌دادند. هدف‌گیری بسیار انتخابی بود، به این معنی که بیشتر کاربران همچنان به‌روزرسانی‌های سالم دریافت می‌کردند و این به مهاجمان کمک کرد ماه‌ها بدون شناسایی باقی بمانند.
undefined مهاجمان دسترسی مستقیم به سرور ارائه‌دهنده میزبانی را در 2 سپتامبر پس از به‌روزرسانی‌های برنامه‌ریزی‌شده فرم‌ور و کرنل از دست دادند. با این حال، آن‌ها اعتبارنامه‌های معتبر خود را حفظ کردند که به آن‌ها اجازه می‌داد ترافیک به‌روزرسانی را حداقل تا 2 دسامبر هدایت کنند. هو گفت مهاجمان به‌طور خاص از کنترل‌های ناکافی اعتبارسنجی به‌روزرسانی در نسخه‌های قدیمی Notepad++ سوءاستفاده کردند و این امکان را فراهم کردند تا به‌روزرسانی‌های مخرب بدون اعتبارسنجی مناسب نصب شوند.
undefined تخصیص مسئولیت این حادثه همچنان میان محققان امنیتی مورد اختلاف است. کوین بومونت این فعالیت را به Violet Typhoon، یک گروه تهدید پایدار پیشرفته چینی، همچنین شناخته‌شده به‌عنوان APT31 یا Zirconium، نسبت داد. بومونت گزارش داد که اهداف شامل شرکت‌های خدمات مالی و ارائه‌دهندگان مخابراتی با اهمیت استراتژیک برای چین بودند. با این حال، Rapid7 حمله را به گروه دیگری مرتبط با چین، Lotus Blossom، نسبت داد و گفت مهاجمان یک درب پشتی سفارشی که قبلاً مستندسازی نشده بود به نام “Chrysalis” را از طریق به‌روزرسانی‌های آلوده مستقر کردند.
undefined این حمله به‌خاطر نحوه دور زدن بسیاری از دفاع‌های مدرن زنجیره تامین نرم‌افزار قابل توجه است. مهاجمان کد منبع Notepad++ را به‌خطر نینداختند، مسیر ساخت را دستکاری نکردند و امضاهای دیجیتال را نقض نکردند. در عوض، آن‌ها ارائه‌دهنده میزبانی را به‌خطر انداختند، درخواست‌های به‌روزرسانی را بر اساس محدوده IP فیلتر کردند و نصب‌کننده‌های آلوده را به‌طور انتخابی به اهداف منطقه‌ای و صنعتی خاص تحویل دادند. میلیون‌ها کاربر دیگر همچنان به‌روزرسانی‌های قانونی دریافت کردند و این به پنهان ماندن عملیات کمک کرد.
undefined در پاسخ، پروژه Notepad++ به یک ارائه‌دهنده میزبانی جدید با کنترل‌های امنیتی قوی‌تر منتقل شد. همچنین نسخه جدیدی از WinGUp منتشر شد که دانلود موفق را اعتبارسنجی می‌کند، اعتبارسنجی امضای دیجیتال را به‌صورت سختگیرانه اجرا می‌کند و گواهی‌های امنیتی معتبر را بررسی می‌کند. سرور به‌روزرسانی اکنون دستورالعمل‌های به‌روزرسانی را به‌صورت دیجیتال امضا می‌کند و دستکاری آن‌ها در مسیر انتقال دشوارتر شده است. از نسخه 8.9.2 به بعد، updater نصب هر به‌روزرسانی که اعتبارسنجی را پاس نکند را رد خواهد کرد.
undefined منابع:
[1] https://www.darkreading.com/application-security/chinese-hackers-hijack-notepad-updates-6-months[2] https://notepad-plus-plus.org/news/hijacked-incident-info-update#امنیت_سایبری #حمله_زنجیره_تامین
undefined @cyberseclabs | #SupplyChainAttack

۹:۴۶

undefined هشدار امنیتی | GhostChat: جاسوس‌افزار اندرویدی با هدف دسترسی غیرمجاز به حساب‌های واتساپ
undefined تاریخ انتشار: 30 ژانویه 2026
undefined جزئیات هشدار:جاسوس‌افزار اندرویدی با نام GhostChat در قالب یک برنامه جعلی دوست‌یابی (Dating App) و با بهره‌گیری از ترفندهای مهندسی اجتماعی اقدام به فریب کاربران می‌کند. این بدافزار ازطریق پروفایل‌های جعلی با هویت زنانه، کاربران را به نصب برنامه‌ای با نام Dating Apps without payment ترغیب می‌نماید. برنامه مذکور با کپی‌برداری از آیکون یک برنامه معتبر، تلاش می‌کند ظاهری قانونی و قابل‌اعتماد از خود نشان دهد.پس از نصب، این برنامه بدون انجام فرایند احراز هویت واقعی و با استفاده از اعتبارنامه‌های سخت‌کدشده (chat/12345) وارد محیط گفت‌وگو شده و فعالیت‌های مخرب خود را آغاز می‌کند.GhostChat قادر است اطلاعات حساسی ازجمله فهرست مخاطبین، تصاویر، فایل‌های ذخیره‌شده (PDF، Word، Excel و PowerPoint) و شناسه دستگاه (Device ID) را جمع‌آوری کرده و به کارگزار فرماندهی و کنترل (C2) در دامنه hitpak[.]org ارسال نماید.علاوه‌بر این، بدافزار ازطریق کدهای QR جعلی که با عناوین فریبنده (ازجمله دعوت به عضویت در نهادهای رسمی) ارائه می‌شوند، کاربر را ترغیب می‌کند تا حساب واتساپ خود را به یک دستگاه دیگر پیوند دهد. این روش که به‌عنوان GhostPairing شناخته می‌شود، درعمل امکان دسترسی مهاجم به سایر نسخه‌های واتساپ (WhatsApp Web/Desktop) و محتوای گفت‌وگوها را فراهم می‌سازد.
undefined محصولات آسیب‌پذیر:• دستگاه‌های اندرویدی• برنامه واتساپ (درصورت اسکن کد QR جعلی و اتصال حساب به دستگاه ناشناس)
undefined راهکارها و اقدامات امنیتی پیشنهادی:• برنامه‌ها را تنها از فروشگاه‌های معتبر مانند Google Play Store نصب کنید و از نصب فایل‌های APK از منابع ناشناس خودداری نمایید.• گزینه «نصب از منابع ناشناس» را در تنظیمات امنیتی دستگاه غیرفعال کنید.• پیش از نصب هر برنامه، مجوزهای درخواستی آن را با دقت بررسی کرده و از اعطای دسترسی‌های غیرضروری خودداری نمایید.• خدمت Google Play Protect را فعال کنید یا از راهکارهای امنیتی معتبر مانند ESET Mobile Security برای شناسایی و مسدودسازی تهدیدات استفاده نمایید.• دستگاه‌های متصل به واتساپ را از مسیر Settings > Linked Devices بررسی کرده و هر دستگاه ناشناس را حذف نمایید.
undefined منابع:[1] https://www.pcrisk.com/removal-guides/34866-ghostchat-malware-android[2] https://gbhackers.com/ghostchat-targets-whatsapp-users

#امنیت_سایبری | #بدافزار | #واتساپ | #GhostChatundefined @cyberseclabs

۱۲:۰۰

undefined هشدار امنیتی | کمپین جدید توزیع RAT اندرویدی ازطریق Hugging Face
undefined تاریخ انتشار: 30 ژانویه 2026
undefined جزئیات هشدار:پژوهشگران شرکت Bitdefender یک کمپین بدافزاری اندرویدی را شناسایی کرده‌اند که در آن مهاجمان با سوءاستفاده از زیرساخت عمومی و معتبر Hugging Face اقدام به میزبانی و توزیع فایل‌های مخرب می‌کنند. در این کمپین، مهاجمان با استفاده از تبلیغات فریبنده و هشدارهای جعلی درباره «آلودگی دستگاه»، کاربران را به نصب یک برنامه امنیتی تقلبی با نام TrustBastion ترغیب می‌کنند. این برنامه در واقع یک Dropper است که پس از نصب، یک بدافزار دسترسی از راه‌دور (RAT) را روی دستگاه قربانی بارگیری و اجرا می‌کند. بدافزار مستقرشده قادر است فعالیت‌های کاربر را ضبط کند، اسکرین‌شات بگیرد و اطلاعات حساس ازجمله گذرواژه صفحه قفل، داده‌های احراز هویت و اعتبارنامه‌های مالی (شامل اطلاعات کیف‌پول‌های الکترونیکی) را سرقت نماید.Bitdefender تأکید می‌کند که استفاده مهاجمان از یک سکوی معتبر و شناخته‌شده مانند Hugging Face، فرایند شناسایی تهدید و تشخیص ماهیت مخرب فایل‌ها را برای کاربران دشوارتر کرده و احتمال جلب اعتماد آن‌ها را افزایش می‌دهد.
undefined محصولات آسیب‌پذیر:• دستگاه‌های اندرویدی که ازطریق نصب از منابع غیررسمی (Sideloading) اقدام به نصب برنامه‌های ناشناخته می‌کنند.• کاربرانی که برنامه TrustBastion یا سایر برنامه‌های امنیتی غیررسمی و مشابه را نصب کرده‌اند.
undefined راهکارها و اقدامات امنیتی پیشنهادی:• از نصب برنامه‌های اندرویدی خارج از فروشگاه‌های رسمی مانند Google Play خودداری کنید.• گزینه «نصب از منابع ناشناس» را در تنظیمات امنیتی دستگاه غیرفعال کنید.• نسبت به هشدارهای امنیتی غیرمنتظره یا پیشنهاد نصب «آنتی‌ویروس رایگان» با احتیاط کامل برخورد کنید.• از راهکارهای امنیتی معتبر موبایل (مانند Bitdefender Mobile Security) برای شناسایی و مسدودسازی بدافزارهای RAT استفاده نمایید.• درصورت نصب برنامه TrustBastion، فوراً آن را حذف کرده و دستگاه را با یک پویشگر امنیتی معتبر بررسی کنید.
undefined منابع:[1] https://www.bitdefender.com/en-us/blog/hotforsecurity/hugging-face-android-rat-malware
#امنیت_موبایل | #بدافزار_اندروید | #HuggingFace | #RAT
undefined @cyberseclabs

۱۲:۰۱

undefined اطلاع‌رسانی | معرفی BlackICE: چارچوب متن‌باز کانتینری برای Red Teaming مدل‌های زبانی بزرگ
undefined تاریخ انتشار: 29 ژانویه 2026
undefined متن خبر:شرکت Databricks در کنفرانس CAMLIS Red 2025 از ابزار جدیدی با نام BlackICE رونمایی کرد. BlackICE یک کیت ابزار متن‌باز و مبتنی بر کانتینر (Docker) است که با هدف تسهیل، یکپارچه‌سازی و استانداردسازی فرایند Red Teaming در حوزه هوش مصنوعی توسعه یافته است. این چارچوب با گردآوری ۱۴ ابزار تخصصی امنیتی در یک محیط یکپارچه و تکرارپذیر، امکان ارزیابی مؤثرتر و نظام‌مند امنیت سامانه‌های هوش مصنوعی را فراهم می‌کند.BlackICE با الهام از مدل موفق Kali Linux در آزمون نفوذپذیری سنتی طراحی شده و به‌طور ویژه به چالش‌های رایج Red Teaming هوش مصنوعی می‌پردازد؛ چالش‌هایی مانند پیچیدگی راه‌اندازی ابزارها، تداخل وابستگی‌های نرم‌افزاری و نبود یک محیط اجرایی یکپارچه که معمولاً مانع از اجرای سریع، قابل‌اعتماد و قابل‌تکرار آزمون‌های امنیتی می‌شوند.
ویژگی‌های کلیدی BlackICE:• ادغام ۱۴ ابزار متن‌باز در حوزه‌های آزمون‌های امنیتی و یادگیری ماشین تخاصمی (Adversarial Machine Learning)• پشتیبانی از سناریوهای کلیدی ارزیابی امنیتی ازجمله تزریق پرامپت (Prompt Injection)، نشت داده و شناسایی توهم (Hallucination) در مدل‌های زبانی بزرگ (LLMs)• ارائه یک رابط خط فرمان (CLI) یکپارچه برای اجرای سریع ابزارها در محیط‌های Shell و Notebook• نگاشت قابلیت‌ها به چارچوب‌های استاندارد MITRE ATLAS و Databricks AI Security Framework (DASF)
در مجموع، BlackICE با کاهش سربار فنی و ساده‌سازی فرایند ارزیابی امنیتی، به تیم‌های امنیتی کمک می‌کند تا آزمون‌های امنیتی مدل‌های زبانی بزرگ و سایر سامانه‌های هوش مصنوعی را سریع‌تر، تکرارپذیرتر و بر پایه استانداردهای شناخته‌شده انجام دهند.
undefined منابع:[1] https://gbhackers.com/blackice-container-based-red-teaming-toolkit
#امنیت_هوش_مصنوعی | #BlackICE | #LLM_Security | #Red_Teaming
undefined @cyberseclabs

۱۲:۲۱

undefined هشدار امنیتی | انتشار بدافزار RAT ازطریق بسته‌های جعلی Spellchecker در مخزن PyPI
undefined تاریخ انتشار: 28 ژانویه 2026
undefined جزئیات هشدار:پژوهشگران امنیتی دو بسته مخرب با نام‌های spellcheckerpy و spellcheckpy را در مخزن عمومی PyPI شناسایی کرده‌اند. این بسته‌ها در ظاهر به‌عنوان ابزار بررسی املای زبان پایتون منتشر شده‌اند، اما در واقع یک بدافزار دسترسی از راه‌دور (RAT) را روی ماشین قربانی اجرا می‌کنند.در نسخه‌های اولیه، بار مخرب (Payload) تنها بارگیری و رمزگشایی می‌شد؛ اما از نسخه spellcheckpy v1.2.0 (منتشرشده در ۲۱ ژانویه ۲۰۲۶ میلادی)، مهاجمان کد اجرایی فعال‌کننده RAT را نیز به بسته افزوده‌اند.بار مخرب اولیه یک Downloader است که نسخه پایتون RAT را از دامنه updatenet[.]work (با نشانی 172.86.73[.]139) دریافت می‌کند. این زیرساخت توسط شرکت RouterHosting LLC (با نام تجاری Cloudzy) میزبانی می‌شود؛ شرکتی که پیش‌تر به میزبانی زیرساخت‌های مورد استفاده توسط گروه‌های تهدید دولتی مرتبط بوده است.
undefined محصولات آسیب‌پذیر:• میزبان‌هایی که بسته‌های spellcheckerpy یا spellcheckpy (به‌ویژه نسخه 1.2.0 و بالاتر) را نصب کرده‌اند.• توسعه‌دهندگانی که این بسته‌ها را در محیط‌های توسعه یا پروژه‌های نرم‌افزاری خود مورد استفاده قرار داده‌اند.
undefined راهکارها و اقدامات امنیتی پیشنهادی:• این بسته‌ها را فوراً از تمامی محیط‌ها حذف کنید: pip uninstall spellcheckerpy spellcheckpy• ترافیک خروجی به دامنه updatenet.work و نشانی 172.86.73.139 را در دیواره آتش یا پروکسی مسدود کنید.• تنها از بسته معتبر pyspellchecker استفاده نمایید: https://pypi.org/project/pyspellchecker• پیش از نصب هر بسته شخص ثالث، اعتبار ناشر و تاریخچه بسته را بررسی کرده و از ابزارهای اعتبارسنجی زنجیره تأمین نرم‌افزار (SCA) بهره ببرید.
undefined منابع:[1] https://thehackernews.com/2026/01/fake-python-spellchecker-packages-on.html
#امنیت_سایبری | #SupplyChainSecurity | #RATundefined @cyberseclabs

۱۷:۰۹

undefined آسیب‌پذیری RCE در Windows Notepad در انتشار وصله اخیر مایکروسافت برطرف شد
undefined تاریخ انتشار: 12 فوریه 2026
undefined در میان اصلاحیه‌های امنیتی متعددی که مایکروسافت در February 2026 Patch Tuesday منتشر کرد، یکی نیز مربوط به CVE-2026-20841 (با نمره CVSS 3.1 برابر با 7.8) است؛ یک آسیب‌پذیری تزریق دستور در Notepad که مهاجمان می‌توانند از آن برای اجرای کد از راه دور روی سیستم ویندوز قربانیان سوءاستفاده کنند.برای سال‌های بسیار طولانی، Windows Notepad یک ویرایشگر متن ساده و ابزاری پایه برای همه کسانی بود که روشی بدون پیچیدگی برای کار با متن ساده می‌خواستند؛ اما در اوایل 2022، مایکروسافت بازطراحی آن را آغاز کرد و قابلیت‌های جدیدی به آن افزود. در سال 2025، مایکروسافت پشتیبانی از قالب‌بندی متن غنی (رندر و ویرایش Markdown) را به Notepad اضافه کرد و با این اضافه‌شدن، سطح حمله جدیدی ایجاد شد.
undefinedمایکروسافت اعلام کرد: «یک مهاجم می‌تواند کاربر را فریب دهد تا روی یک لینک مخرب داخل فایل Markdown که در Notepad باز شده کلیک کند و در نتیجه، برنامه پروتکل‌های تأییدنشده‌ای را اجرا کند که فایل‌های راه دور را بارگذاری و اجرا می‌کنند.»«کد مخرب در زمینه امنیتی کاربری که فایل Markdown را باز کرده اجرا می‌شود و به مهاجم همان سطح دسترسی آن کاربر را می‌دهد.» به نظر می‌رسد سوءاستفاده از CVE-2026-20841 ساده‌تر از آن چیزی است که تصور می‌شود. در واقع، مشکل این است که Notepad نحوه مدیریت برخی لینک‌ها را به اندازه کافی محدود نکرده یا درباره آن‌ها هشدار نداده است.
undefined اگرچه بهره‌برداری از این آسیب‌پذیری مستلزم آن است که قربانی فایل Markdown را باز کرده و با نگه داشتن Ctrl روی لینک کلیک کند، چنین تعاملی معمولاً از طریق مهندسی اجتماعی به‌راحتی حاصل می‌شود. در نهایت، این واقعیت که فایل‌های Markdown به‌طور تاریخی به‌عنوان فایل‌هایی با ریسک اجرایی شناخته نمی‌شوند نیز می‌تواند باعث شود کاربران با احتیاط کمتری چنین فایلی را باز کنند.
undefined این آسیب‌پذیری نسخه‌های Windows Notepad از 11.0.0 پیش از نسخه 11.2510 را تحت تأثیر قرار می‌دهد. Notepad یک اپلیکیشن فروشگاه مایکروسافت است و اگر به‌روزرسانی خودکار غیرفعال نشده باشد، کاربران بدون نیاز به انجام کاری به نسخه اصلاح‌شده ارتقا خواهند یافت.
undefined مایکروسافت به‌جای مسدود کردن کامل لینک‌های غیر استاندارد، تصمیم گرفت این نقص را با نمایش هشدار «This link may be unsafe» زمانی که لینک‌ها از پروتکل‌هایی غیر از http:// یا https:// استفاده می‌کنند، کاهش دهد.در صورتی که قربانی احتمالی این هشدار را نادیده بگیرد، لینک همچنان کار خواهد کرد؛ بنابراین این هشدار تنها مانعی است که مهاجمان می‌توانند با مهندسی اجتماعی هوشمندانه آن را دور بزنند. در حال حاضر گزارشی مبنی بر تلاش فعال مهاجمان برای سوءاستفاده از این نقص منتشر نشده است.

undefined منابع:[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20841[2] https://www.helpnetsecurity.com/2026/02/12/windows-notepad-markdown-feature-opens-door-to-rce-cve-2026-20841
#امنیت_سایبری #آسیب_پذیری
undefined @cyberseclabs | #Windows #Notepad

۱۲:۳۴

undefined گروه هکری از کره شمالی شرکت‌های کریپتو را با هوش مصنوعی هدف قرار می‌دهد
undefined تاریخ انتشار: 12 فوریه 2026
undefined یک بازیگر تهدید به نام UNC1069 با انگیزه مالی از کره شمالی، شرکت‌های ارز دیجیتال را با راهبردهای جدید مهندسی اجتماعی مبتنی بر دیپ‌فیک هدف قرار داده است. واحد Google Cloud و تیم امنیتی آن یعنی Mandiant این هفته پژوهشی درباره یک بازیگر تهدید منتشر کردند که آن را با نام UNC1069 ردیابی می‌کنند و دست‌کم از سال 2018 فعال بوده است. این پژوهش عمدتاً به یک حمله می‌پردازد که در آن مهاجم از حساب تلگرام یک مدیر اجرایی حوزه ارز دیجیتال که به خطر افتاده بود، برای هدف قرار دادن قربانی دوم استفاده کرد.
undefined مهاجمان با استفاده از حساب این مدیر اجرایی با قربانی تماس گرفتند و ادعا کردند مالک واقعی حساب هستند. این گزارش می‌گوید: «UNC1069 با قربانی وارد تعامل شد و پس از ایجاد ارتباط، لینکی از Calendly برای تنظیم یک جلسه 30 دقیقه‌ای ارسال کرد. خود لینک جلسه به یک جلسه جعلی Zoom هدایت می‌شد که روی زیرساخت مهاجم میزبانی می‌شد.»تماس جعلی Zoom در واقع یک ویدئو بود؛ ظاهراً یک دیپ‌فیک که خود را به‌جای یکی دیگر از مدیران حوزه ارز دیجیتال از شرکتی دیگر جا زده بود. هدف این ویدئو این بود که کاربر تصور کند با مشکل صوتی مواجه شده است. در این مرحله، مهاجم برای «کمک» به عیب‌یابی، دستورالعمل‌هایی ارائه می‌داد. این دستورالعمل‌ها شامل دو مجموعه فرمان (بسته به اینکه هدف از macOS یا Windows استفاده می‌کرد) بود و کاربر را ترغیب می‌کرد یک فرمان واحد را اجرا کند که زنجیره آلودگی را آغاز می‌کرد.
undefined این همان تاکتیک کلاسیک ClickFix است؛ یک روش مهندسی اجتماعی که طی سال گذشته محبوبیت زیادی پیدا کرده است. این روش اشکال مختلفی دارد اما در اصل شامل فریب کاربر برای حل یک مشکل تأیید هویت یا عیب‌یابی فنی است (معمولاً از طریق وارد کردن کد مخرب در خط فرمان).در پست وبلاگ Mandiant آمده است: «UNC1069 از این تکنیک‌ها برای هدف قرار دادن هم نهادهای شرکتی و هم افراد در صنعت ارز دیجیتال استفاده می‌کند؛ از جمله شرکت‌های نرم‌افزاری و توسعه‌دهندگان آن‌ها، و همچنین شرکت‌های سرمایه‌گذاری خطرپذیر و کارکنان یا مدیران آن‌ها. این موارد شامل استفاده از جلسات جعلی Zoom و همچنین استفاده شناخته‌شده از ابزارهای هوش مصنوعی توسط این بازیگر تهدید برای ویرایش تصاویر یا ویدئوها در مرحله مهندسی اجتماعی است.»
undefined به گفته محققان UNC1069 به احتمال زیاد با کره شمالی مرتبط است. از سال 2023، این گروه تاکتیک‌های خود را از فیشینگ هدفمند سنتی و شرکت‌های مالی سنتی به سمت صنعت Web3 تغییر داده است؛ چه شرکت‌هایی مانند صرافی‌های متمرکز و چه افراد مرتبط در سازمان‌هایی مانند شرکت‌های سرمایه‌گذاری خطرپذیر. اگرچه این گروه برجسته‌ترین بازیگر در سرقت‌های ارز دیجیتال نیست، اما Mandiant اعلام کرده که همچنان یک تهدید فعال محسوب می‌شود.آنچه برجسته است، تکنیک‌های مهندسی اجتماعی UNC1069 است که در این مورد از حساب مشروع یک مدیر اجرایی در Telegram، دعوت‌نامه قانونی Calendly برای ایجاد حس اعتبار، ویدئوهای (به احتمال زیاد) دیپ‌فیک و تاکتیک ClickFix در یک زنجیره پیچیده استفاده کرده است. این گروه همچنین از مدل‌های زبانی بزرگ مانند Gemini برای انجام تحقیق و توسعه ابزارهای حمله بهره می‌برد.
undefined در حادثه اصلی توصیف‌شده در منبع، قربانی فرمان‌های مخرب را روی دستگاه macOS خود اجرا کرد. این فرمان یک درِ پشتی نصب می‌کند که امکان فعالیت‌های بعدی مانند استقرار یک دانلودر برای ابزارهای اضافی، از جمله یک درِ پشتی دوم که با سرور فرمان ارتباط برقرار می‌کند، فراهم می‌سازد.این ابزارهای اضافی شامل دو استخراج‌کننده داده بودند که حجم زیادی از داده‌ها را از رایانه قربانی جمع‌آوری می‌کردند؛ از جمله اطلاعات Keychain، داده‌های مرورگر، داده‌های کاربر Telegram و داده‌های کاربر Apple Notes.جزئیاتی درباره نحوه کسب درآمد UNC1069 از این حمله خاص ارائه نشده است، اما Mandiant معتقد است این حادثه اخیر یک حمله هدفمند بوده که با هدف سرقت ارز دیجیتال و همچنین تقویت «کارزارهای مهندسی اجتماعی آینده از طریق بهره‌گیری از هویت و داده‌های قربانی» انجام شده است.
undefined منابع:[1] https://darkreading.com/threat-intelligence/north-koreas-unc1069-hammers-crypto-firms[2] https://cloud.google.com/blog/topics/threat-intelligence/unc1069-targets-cryptocurrency-ai-social-engineering
#امنیت_سایبری #مهندسی_اجتماعی
undefined @cyberseclabs | #Crypto #Deepfake

۱۲:۳۵

undefined کمپین گروه لازاروس بسته‌های مخرب را در اکوسیستم‌های npm و PyPI منتشر می‌کند
undefined تاریخ انتشار: 13 فوریه 2026
undefined پژوهشگران امنیت سایبری از کشف مجموعه‌ای جدید از بسته‌های مخرب در مخازن npm و PyPI خبر داده‌اند که با یک کمپین جعلی استخدامی مرتبط است. این عملیات به گروه لازاروس، وابسته به کره شمالی، نسبت داده شده و با نام «graphalgo» شناخته می‌شود. بررسی‌ها نشان می‌دهد این فعالیت حداقل از اواسط 2025 آغاز شده است. در این کمپین، مهاجمان با ایجاد هویت‌های جعلی شرکتی در حوزه بلاکچین و صرافی‌های رمزارزی، توسعه‌دهندگان را هدف قرار می‌دهند.
undefined سناریوی حمله به این صورت است که مهاجمان شرکتی ساختگی مانند Veltrix Capital ایجاد می‌کنند، برای آن دامنه اینترنتی ثبت می‌کنند و یک سازمان در GitHub می‌سازند تا مخازنی حاوی پروژه‌های برنامه‌نویسی (عمدتاً Python و JavaScript) منتشر کنند. این پروژه‌ها ظاهراً برای ارزیابی فنی متقاضیان شغلی طراحی شده‌اند و در نگاه اول فاقد کد مخرب آشکار هستند. اما وابستگی‌های این پروژه‌ها شامل بسته‌هایی در npm و PyPI است که حاوی کد مخرب‌اند.مهاجمان از طریق LinkedIn، Facebook و حتی آگهی‌های شغلی در Reddit با توسعه‌دهندگان تماس می‌گیرند و آن‌ها را ترغیب می‌کنند پروژه‌های ارائه‌شده را روی سیستم خود اجرا کنند. با اجرای این پروژه‌ها، وابستگی‌های آلوده نصب شده و آلودگی آغاز می‌شود. در برخی موارد، جذب‌کنندگان ظاهراً معتبر مستقیماً با قربانیان ارتباط برقرار می‌کنند.
undefined در میان بسته‌های شناسایی‌شده، موردی به نام bigmathutils پیش از آلوده شدن نسخه دوم، بیش از 10,000 بار دانلود شده بود. این موضوع نشان می‌دهد مهاجمان ابتدا نسخه‌ای سالم منتشر کرده و پس از جلب اعتماد، نسخه مخرب را جایگزین کرده‌اند. در مجموع ده‌ها بسته در هر دو اکوسیستم npm و PyPI شناسایی شده‌اند که نام‌هایی مشابه و مرتبط با مفاهیم گراف و محاسبات عددی دارند.
undefined بسته‌های مخرب در نهایت یک تروجان دسترسی از راه دور (RAT) را مستقر می‌کنند. این بدافزار می‌تواند اطلاعات سیستم را جمع‌آوری کند، فایل‌ها و پوشه‌ها را فهرست کند، پردازش‌های در حال اجرا را نمایش دهد، فایل ایجاد یا حذف کند و داده‌ها را بارگذاری یا دانلود نماید. ارتباط با سرور فرمان و کنترل (C2) از طریق مکانیزمی مبتنی بر توکن انجام می‌شود؛ بدین صورت که سیستم آلوده ابتدا ثبت شده و توکنی دریافت می‌کند، سپس در درخواست‌های بعدی از همان توکن برای احراز هویت استفاده می‌کند. این روش پیش‌تر در کمپین‌های سال 2023 مرتبط با گروهی دیگر از کره شمالی نیز مشاهده شده بود.بررسی‌ها نشان می‌دهد بدافزار حتی وجود افزونه MetaMask را نیز بررسی می‌کند که حاکی از انگیزه‌های مالی و تلاش برای سرقت دارایی‌های رمزارزی است. پژوهشگران تأکید کرده‌اند ماژولار بودن، چندلایه و رمزگذاری‌شده بودن بدافزار و همچنین صبر مهاجمان در ایجاد اعتماد، نشان‌دهنده یک عملیات پیچیده و دولتی است.
undefined علاوه بر این کمپین، نمونه‌های مخرب دیگری نیز در npm کشف شده‌اند. یکی از آن‌ها بسته‌ای به نام "duer-js" است که خود را به عنوان ابزار بهبود نمایش کنسول معرفی می‌کند اما در واقع حاوی بدافزار Bada Stealer است. این بدافزار قادر به سرقت توکن‌های Discord، گذرواژه‌ها، کوکی‌ها، داده‌های autofill مرورگرها، اطلاعات کیف پول‌های رمزارزی و داده‌های سیستمی است. اطلاعات سرقت‌شده به یک webhook در Discord و همچنین سرویس ذخیره‌سازی Gofile ارسال می‌شود. این بسته حتی یک بار ثانویه دانلود می‌کند که هنگام اجرای Discord Desktop فعال می‌شود و اطلاعات پرداخت کاربر را نیز هدف قرار می‌دهد.در موردی دیگر، کمپینی با نام XPACK ATTACK شناسایی شده که از npm برای اخاذی رمزارزی سوءاستفاده می‌کند. در این روش، هنگام اجرای دستور "npm install"، فرآیند نصب با پیام HTTP 402 متوقف شده و از توسعه‌دهنده درخواست پرداخت 0.1 USDC/ETH می‌شود. در صورت عدم پرداخت، نصب شکست می‌خورد و در این میان اطلاعاتی مانند نام کاربری GitHub و اثرانگشت دستگاه جمع‌آوری می‌شود.
undefined این رخدادها نشان می‌دهد اکوسیستم‌های متن‌باز همچنان هدفی جذاب برای بازیگران تهدید دولتی و مجرمان سایبری هستند که با سوءاستفاده از اعتماد توسعه‌دهندگان، به دنبال سرقت داده و منافع مالی‌اند.جزئیات بیشتر (شامل لیست کامل بسته های مخرب) در لینک منبع قابل مشاهده است.
undefined منابع:[1] https://thehackernews.com/2026/02/lazarus-campaign-plants-malicious.html
#امنیت_سایبری #بسته‌های_مخرب #متن_باز
undefined @cyberseclabs | #Lazarus_Group #npm #PyPI

۱۲:۳۶

thumbnail
undefined صدور مجوز برای سه آزمایشگاه جدید ارزیابی محصولات توسط مرکز مدیریت راهبردی افتا
undefined تاریخ انتشار: 27 بهمن 1404
بر اساس اطلاعات منتشر شده در وب سایت مرکز مرکز مدیریت راهبردی افتا سه آزمایشگاه جدید به فهرست آزمایشگاه‌های صادر کننده گواهی امنیتی محصولات افزوده شده است. اسامی این سه آزمایشگاه عبارت است از:1- خدمات آزمایشگاهی پویشگران امن یکتا2- آزمایشگاه پژوهشگاه توسعه فناوری‌های پیشرفته3- مساف امام حسین
مرجع:https://afta.gov.ir/labs#افتا #آزمایشگاه_افتا #مجوز_امنیتیundefined @cyberseclabs

۱۳:۲۷

undefined افزوده شدن ۶ آسیب‌پذیری روز صفر مایکروسافت به فهرست KEV؛ هشدار درباره بهره‌برداری فعال مهاجمان

undefined تاریخ انتشار: 11 فوریه 2026
undefined آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) شش آسیب‌پذیری روز صفر مرتبط با محصولات مایکروسافت را به فهرست Known Exploited Vulnerabilities (KEV) اضافه کرد؛ فهرستی که شامل نقص‌هایی است که شواهدی از بهره‌برداری فعال آنها در حملات واقعی وجود دارد.این اقدام پس از آن صورت گرفت که مشخص شد مهاجمان در حال سوءاستفاده عملی از این آسیب‌پذیری‌ها در محیط‌های واقعی هستند. افزوده شدن به فهرست KEV به این معناست که این نقص‌ها صرفاً نظری یا آزمایشگاهی نیستند، بلکه در سناریوهای واقعی حمله مورد استفاده قرار گرفته‌اند.طبق گزارش منتشرشده، این شش آسیب‌پذیری طیف متنوعی از محصولات و مؤلفه‌های مایکروسافت را تحت تأثیر قرار می‌دهند و شامل نقص‌هایی با قابلیت اجرای کد از راه دور (Remote Code Execution)، افزایش سطح دسترسی (Privilege Escalation) و دور زدن مکانیزم‌های امنیتی هستند. چنین آسیب‌پذیری‌هایی می‌توانند به مهاجمان اجازه دهند بدون نیاز به احراز هویت معتبر، کنترل سیستم‌های هدف را در دست بگیرند یا دسترسی خود را در شبکه گسترش دهند.در برخی از این موارد، مهاجم می‌تواند با ارسال داده‌های دستکاری‌شده یا بهره‌گیری از تعامل محدود کاربر، کد مخرب را در سطح سیستمی اجرا کند. در موارد دیگر، نقص‌ها امکان ارتقای سطح دسترسی از کاربر عادی به دسترسی مدیریتی را فراهم می‌کنند؛ موضوعی که می‌تواند کنترل کامل دستگاه یا سرور را در اختیار مهاجم قرار دهد.CISA در چارچوب دستورالعمل‌های عملیاتی خود، سازمان‌های فدرال را ملزم کرده است که در بازه زمانی مشخص‌شده نسبت به اعمال وصله‌های امنیتی اقدام کنند. این الزام نشان می‌دهد که ریسک ناشی از این آسیب‌پذیری‌ها بالا ارزیابی شده و تأخیر در وصله‌کردن می‌تواند پیامدهای امنیتی جدی در پی داشته باشد.گزارش همچنین تأکید می‌کند که بهره‌برداری از آسیب‌پذیری‌های روز صفر معمولاً توسط گروه‌های پیشرفته تهدید (APT) یا بازیگران دولتی و نیمه‌دولتی انجام می‌شود، زیرا این نقص‌ها پیش از انتشار عمومی وصله، فرصت نفوذ ارزشمندی در اختیار مهاجمان قرار می‌دهند. در چنین شرایطی، فاصله زمانی بین کشف نقص و اعمال وصله، یکی از حساس‌ترین بازه‌های امنیتی برای سازمان‌ها محسوب می‌شود.افزوده شدن این شش نقص به فهرست KEV بار دیگر اهمیت مدیریت فعال آسیب‌پذیری‌ها، پایش مستمر تهدیدات و به‌روزرسانی سریع سیستم‌ها را برجسته می‌کند. سازمان‌هایی که زیرساخت‌های مبتنی بر محصولات مایکروسافت دارند، در صورت عدم اعمال به‌موقع اصلاحیه‌های امنیتی، در معرض خطر نفوذ، حرکت جانبی مهاجمان در شبکه و حتی استقرار باج‌افزار قرار خواهند گرفت.
undefined منابع:[1] https://cybersecuritynews.com/microsoft-0-day-vulnerabilities
#Microsoft #ZeroDay #CISA #CyberSecurityundefined @cyberseclabs

۱۹:۲۲

undefined حمله سایبری گسترده به Odido Telecom؛ افشای اطلاعات ۶.۲ میلیون حساب کاربری

undefined تاریخ انتشار: 12 فوریه 2026
undefined شرکت مخابراتی Odido Telecom هدف یک حمله سایبری گسترده قرار گرفت که در نتیجه آن اطلاعات مربوط به حدود ۶.۲ میلیون حساب کاربری در معرض دسترسی غیرمجاز قرار گرفت. این حادثه یکی از بزرگ‌ترین رخدادهای امنیتی اخیر در بخش مخابرات اروپا محسوب می‌شود و نگرانی‌های جدی درباره حفاظت از داده‌های مشترکان ایجاد کرده است.بر اساس اطلاعات منتشرشده، مهاجمان موفق شدند به پایگاه‌های داده‌ای دسترسی پیدا کنند که حاوی اطلاعات شخصی مشتریان بوده است. داده‌های افشاشده شامل نام و نام خانوادگی، اطلاعات تماس، جزئیات حساب کاربری و سایر اطلاعات مرتبط با خدمات مخابراتی بوده است. هرچند شرکت اعلام کرده که در حال بررسی دقیق دامنه نفوذ است، اما گستردگی تعداد حساب‌های تحت تأثیر نشان می‌دهد که حمله از سطح دسترسی قابل توجهی برخوردار بوده است.Odido تأیید کرده که بلافاصله پس از شناسایی فعالیت مشکوک، اقدامات مهار و بررسی‌های فنی آغاز شده است. تیم‌های امنیتی داخلی به همراه متخصصان خارجی برای تحلیل منشأ حمله، شناسایی بردار نفوذ و جلوگیری از تکرار حادثه وارد عمل شده‌اند. همچنین فرآیند اطلاع‌رسانی به کاربران آسیب‌دیده آغاز شده تا آنها از وضعیت حساب‌های خود مطلع شوند.در گزارش اشاره شده است که هنوز جزئیات دقیق روش نفوذ مهاجمان منتشر نشده، اما احتمال می‌رود این حمله از طریق سوءاستفاده از یک آسیب‌پذیری یا دسترسی غیرمجاز به سامانه‌های داخلی انجام شده باشد. مقامات مربوطه در حال همکاری با نهادهای قانونی و امنیت سایبری برای بررسی ابعاد کامل حادثه هستند.کارشناسان امنیت سایبری هشدار داده‌اند که داده‌های افشاشده می‌تواند در حملات ثانویه مورد سوءاستفاده قرار گیرد. اطلاعات هویتی و تماس کاربران می‌تواند زمینه‌ساز حملات فیشینگ هدفمند، پیامک‌های جعلی (smishing)، تماس‌های کلاهبرداری و حتی سوءاستفاده‌های مالی شود. به همین دلیل، کاربران آسیب‌دیده باید نسبت به هرگونه ارتباط مشکوک که به نام Odido یا نهادهای مالی انجام می‌شود، هوشیار باشند.
undefined منابع:[1] https://cybersecuritynews.com/odido-telecom-suffers-cyberattack/
#DataBreach #Telecom #CyberAttack #Odidoundefined @cyberseclabs

۱۹:۲۳

undefined کمپین گسترده افزونه‌های مخرب هوش مصنوعی Chrome بیش از ۲۶۰ هزار کاربر را هدف قرار داد

undefined تاریخ انتشار: 13 فوریه 2026
undefined گزارش منتشرشده نشان می‌دهد مجموعه‌ای از افزونه‌های مخرب مرورگر Chrome که با عناوین مرتبط با هوش مصنوعی عرضه شده بودند، در قالب یک کمپین سازمان‌یافته بیش از ۲۶۰ هزار کاربر را هدف قرار داده‌اند. این افزونه‌ها با ظاهر قانونی و وعده قابلیت‌های مبتنی بر AI منتشر شده و توانسته‌اند اعتماد کاربران را جلب کنند.بر اساس بررسی‌های انجام‌شده، این افزونه‌ها پس از نصب، اقدام به تزریق کد مخرب به صفحات وب بازشده توسط کاربر می‌کردند. یکی از تکنیک‌های اصلی مورد استفاده در این کمپین، تزریق iFrame مخفی به صفحات بازدیدشده بود که امکان بارگذاری محتوای خارجی و اجرای اسکریپت‌های مخرب را فراهم می‌کرد. این روش به مهاجمان اجازه می‌داد بدون اطلاع کاربر، داده‌های حساس را استخراج کنند.در گزارش آمده است که زیرساخت این کمپین نشان‌دهنده هماهنگی و مدیریت متمرکز بوده و چندین افزونه مختلف به یک دامنه یا سرور فرمان و کنترل (C2) متصل می‌شدند. این موضوع حاکی از آن است که عملیات مذکور به‌صورت برنامه‌ریزی‌شده و در مقیاس وسیع اجرا شده است.داده‌های هدف شامل اطلاعات نشست‌های کاربری، محتوای صفحات، و در برخی موارد اطلاعات مرتبط با حساب‌های ایمیل بوده است. برخی افزونه‌ها حتی قادر بودند محتوای Gmail یا سایر سرویس‌های مبتنی بر مرورگر را رصد کنند. این سطح از دسترسی، خطر سرقت اعتبارنامه‌ها و داده‌های محرمانه را به‌طور قابل توجهی افزایش می‌دهد.نکته قابل توجه این است که این افزونه‌ها در فروشگاه Chrome در دسترس بوده و تعداد نصب قابل توجهی جذب کرده بودند. این امر نشان می‌دهد که حتی پلتفرم‌های رسمی نیز ممکن است در برابر سوءاستفاده‌های هدفمند مصون نباشند، به‌ویژه زمانی که مهاجمان از عناوین محبوب مانند «هوش مصنوعی» برای جلب اعتماد کاربران استفاده می‌کنند.پس از شناسایی فعالیت مخرب، اقدامات لازم برای حذف این افزونه‌ها از فروشگاه انجام شد. با این حال، کارشناسان هشدار داده‌اند کاربرانی که این افزونه‌ها را نصب کرده‌اند باید آنها را حذف کرده و نشست‌های کاربری فعال خود را بازنشانی کنند و در صورت لزوم گذرواژه‌های خود را تغییر دهند.این کمپین نشان می‌دهد که تهدیدات مبتنی بر افزونه‌های مرورگر همچنان یکی از بردارهای مؤثر حمله هستند، به‌ویژه زمانی که با ترندهای فناوری مانند هوش مصنوعی ترکیب شوند.
undefined منابع:[1] https://cybersecuritynews.com/chrome-ai-extensions-attacking-users
#Chrome #Malware #AIExtensions #CyberThreatundefined @cyberseclabs

۱۹:۲۴

undefined آسیب‌پذیری حیاتی SQL Injection در Microsoft Configuration Manager در فهرست KEV قرار گرفت

undefined تاریخ انتشار: 14 فوریه 2026
undefined یک آسیب‌پذیری مهم از نوع SQL Injection در Microsoft Configuration Manager شناسایی شده که به دلیل وجود شواهد بهره‌برداری فعال، توسط آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) در فهرست Known Exploited Vulnerabilities (KEV) قرار گرفته است. قرار گرفتن در این فهرست به این معناست که این نقص صرفاً یک ریسک تئوریک نیست، بلکه در حملات واقعی مورد سوءاستفاده قرار گرفته است.این آسیب‌پذیری به مهاجمان اجازه می‌دهد از طریق ارسال درخواست‌های دستکاری‌شده به سامانه، دستورات SQL غیرمجاز را اجرا کنند. در صورت بهره‌برداری موفق، مهاجم می‌تواند به پایگاه داده دسترسی پیدا کند، اطلاعات حساس را استخراج کند یا حتی تغییرات مخرب در داده‌ها ایجاد کند. در سناریوهای پیشرفته‌تر، این نوع نقص می‌تواند به اجرای کد از راه دور یا افزایش سطح دسترسی در محیط سازمانی منجر شود.Microsoft Configuration Manager یکی از ابزارهای کلیدی مدیریت زیرساخت‌های سازمانی است که برای استقرار نرم‌افزار، مدیریت به‌روزرسانی‌ها و کنترل دستگاه‌های شبکه استفاده می‌شود. به همین دلیل، هرگونه آسیب‌پذیری در این سامانه می‌تواند پیامدهای گسترده‌ای داشته باشد و امکان حرکت جانبی مهاجم در شبکه را فراهم کند.طبق گزارش، بهره‌برداری از این نقص می‌تواند کنترل بخش‌های مهمی از محیط IT سازمان را در اختیار مهاجم قرار دهد. از آنجا که این سامانه معمولاً دارای سطح دسترسی بالا در شبکه است، نفوذ به آن می‌تواند نقطه شروعی برای حملات پیچیده‌تر از جمله استقرار باج‌افزار یا استخراج داده‌های حساس باشد.CISA از سازمان‌های فدرال خواسته است در بازه زمانی مشخص‌شده نسبت به اعمال وصله‌های امنیتی اقدام کنند. این الزام نشان‌دهنده ارزیابی سطح خطر بالا برای این آسیب‌پذیری است. کارشناسان امنیتی نیز تأکید کرده‌اند که سازمان‌ها باید علاوه بر نصب وصله، لاگ‌های سیستم را برای شناسایی هرگونه فعالیت مشکوک بررسی کنند تا احتمال بهره‌برداری قبلی مشخص شود.این رخداد بار دیگر نشان می‌دهد که آسیب‌پذیری‌های مبتنی بر SQL Injection، با وجود شناخته‌شده بودن این کلاس از نقص‌ها، همچنان یکی از بردارهای مهم حمله در زیرساخت‌های سازمانی محسوب می‌شوند؛ به‌ویژه زمانی که سامانه‌های مدیریتی حیاتی را هدف قرار دهند.
undefined منابع:[1] https://cybersecuritynews.com/microsoft-configuration-manager-sql-injection-vulnerability
#SQLInjection #Microsoft #KEV #CyberSecurityundefined @cyberseclabs

۱۹:۲۴

undefined PentestAgent: ابزار متن‌باز هوش مصنوعی برای تست نفوذ با پلی‌بوک‌های آماده و ادغام با HexStrike

undefined تاریخ انتشار: 15 فوریه 2026
undefined PentestAgent یک چارچوب متن‌باز و مبتنی بر هوش مصنوعی است که توسط توسعه‌دهنده‌ای با نام مستعار GH05TCREW (یا Masic) در GitHub منتشر شده است. این ابزار هدف دارد تا فرآیند تست نفوذ را خودکارسازی کند و با استفاده از پلی‌بوک‌های از پیش ساخته، اقداماتی را که معمولاً به صورت دستی انجام می‌شوند، به گام‌های مهندسی‌شده و قابل اجرا توسط هوش مصنوعی تبدیل کند.این ابزار امکان دریافت ورودی‌های سطح بالا از کاربران، مانند تعریف هدف یا حوزه تست، و تبدیل آن‌ها به اقدامات عملیاتی در زمینه شناسایی ضعف‌ها، بهره‌برداری و حرکت جانبی در شبکه را فراهم می‌کند. پلی‌بوک‌های حمله در PentestAgent نقش قالب‌های استاندارد را دارند و AI می‌تواند آنها را دنبال، ترکیب و مدیریت کند تا یک تست کامل و مدون انجام شود.یکی از ویژگی‌های کلیدی PentestAgent، ادغام با پلتفرم HexStrike است. HexStrike مجموعه‌ای از ابزارهای حرفه‌ای تست نفوذ، اسکن، بهره‌برداری و عملیات پس از بهره‌برداری را ارائه می‌دهد و PentestAgent می‌تواند این ابزارها را به‌صورت برنامه‌ریزی‌شده و خودکار استفاده کند.PentestAgent با ترکیب هوش مصنوعی، پلی‌بوک‌های حمله و امکان ادغام با ابزارهای حرفه‌ای چند مزیت مهم دارد:• سفارشی‌سازی و توسعه‌پذیری: از آنجا که ابزار متن‌باز است، می‌توان پلی‌بوک‌ها را توسعه داد یا ابزارهای سفارشی را یکپارچه کرد.• کاهش بار کاری تست‌کنندگان: به‌جای اجرای دستی ابزارهای متعدد در مراحل مختلف، AI می‌تواند این کارها را به‌صورت سلسله‌مراتبی برنامه‌ریزی و اجرا کند.• یکپارچگی با ابزارهای حرفه‌ای: ادغام با HexStrike به معنای دسترسی به مجموعه ابزارهای قوی برای عملیات پیشرفته تست نفوذ است.• پشتیبانی از سناریوهای تست متنوع: پلی‌بوک‌ها می‌توانند برای آزمایش سطح حمله شبکه، برنامه‌های وب، APIها و دیگر بخش‌ها اعمال شوند بدون اینکه کاربر نیاز به پیکربندی تفصیلی هر ابزار داشته باشد.با این حال، استفاده از PentestAgent دارای چالش‌هایی از جمله مسائل قانونی و مجوز است، به این معنا که این ابزار باید تنها در محیط‌هایی استفاده شود که تست آن‌ها قانونی و مجاز است. همچنین این ابزار نمی‌تواند جایگزین کامل کنترل انسانی شود و بازبینی انسانی برای صحت نتایج ضروری است. علاوه بر این، ریسک وابستگی به مدل‌های هوش مصنوعی وجود دارد و احتمال خطا یا نتایج غیرمنتظره مطرح است که نیاز به اعتبارسنجی دقیق دارد. در مجموع، PentestAgent نشان می‌دهد که چگونه هوش مصنوعی می‌تواند فرآیند تست نفوذ را خودکار، سازمان‌دهی شده و مؤثر کند، اما همزمان نیاز به نظارت انسانی و رعایت اصول اخلاقی دارد تا از سوءاستفاده جلوگیری شود.
undefined منابع:[1] https://cybersecuritynews.com/pentestagent
#PentestAgent #AI #CyberSecurity #HexStrikeundefined @cyberseclabs

۱۹:۲۵

undefined انتشار وصله برای آسیب‌پذیری روز صفر Google Chrome در حملات واقعی

undefined تاریخ انتشار: 16 فوریه 2026
undefined گوگل در تاریخ 16 فوریه 2026 یک به‌روزرسانی امنیتی اضطراری برای مرورگر Google Chrome منتشر کرد تا آسیب‌پذیری روز صفر با شدت بالا CVE‑2026‑2441 را برطرف کند. این نقص یک مشکل use‑after‑free در موتور CSS مرورگر بود که امکان اجرای کد دلخواه از راه دور را برای مهاجمان فراهم می‌کرد.آسیب‌پذیری CVE‑2026‑2441 قبل از انتشار پچ در حملات واقعی مورد سوءاستفاده قرار گرفته بود و مهاجمان با ایجاد محتوای وب مخرب می‌توانستند کد دلخواه را روی سیستم قربانیان اجرا کنند. این نوع آسیب‌پذیری‌ها می‌توانند منجر به افشای اطلاعات، تغییر فایل‌ها یا نصب بدافزار شوند.نسخه‌های پچ‌شده Chrome برای رفع این آسیب‌پذیری منتشر شده‌اند:Windows و macOS: نسخه 145.0.7632.75/.76Linux: نسخه 144.0.7559.75کاربران و سازمان‌ها باید فوراً مرورگر خود را به نسخه‌های جدید ارتقاء دهند و به‌روزرسانی خودکار را فعال کنند. همچنین هنگام باز کردن صفحات وب یا لینک‌های ناشناس باید نهایت احتیاط را داشته باشند، زیرا بهره‌برداری از آسیب‌پذیری‌های روز صفر معمولاً از طریق محتوای مخرب وب انجام می‌شود.
undefined منابع:[1] https://cybersecuritynews.com/chrome-0-day-vulnerability-exploited-wild-2/
#GoogleChrome #ZeroDay #CyberSecurity #PatchEmergencyundefined @cyberseclabs

۱۹:۲۵

undefined ZeroDayRAT: جاسوس‌افزار جدیدی که کنترل کامل گوشی‌های Android و iOS را ممکن می‌کند

undefined تاریخ انتشار: 16 فوریه 2026
undefined محققان امنیت سایبری یک جاسوس‌افزار جدید به نام ZeroDayRAT را شناسایی کرده‌اند که به مهاجمان امکان می‌دهد دستگاه‌های Android و iOS را به‌طور کامل کنترل کرده و داده‌ها، فعالیت‌ها و اطلاعات حساس کاربران را از راه دور استخراج کنند. این ابزار از طریق شبکه‌های Telegram به‌صورت تجاری توزیع می‌شود و نیازی به تخصص فنی بالا برای استفاده ندارد.ZeroDayRAT شامل پنل کنترلی تحت وب، سازنده‌ی payload و ماژول‌های نظارتی است که به مهاجمان اجازه می‌دهد نسخه‌های سفارشی نرم‌افزار جاسوسی را بسازند و روی دستگاه قربانی نصب کنند. روش‌های توزیع آن شامل phishing، smishing، فروشگاه‌های فیک اپ و لینک‌های مخرب است.زمانی که این جاسوس‌افزار نصب شود، می‌تواند اطلاعات گسترده‌ای از جمله موقعیت جغرافیایی، پیام‌ها، تماس‌ها، اعلان‌های پیام‌رسان‌ها، اطلاعات حساب‌های Google و شبکه‌های اجتماعی، داده‌های بانکی و ارز دیجیتال، و حتی ورودی‌های صفحه‌کلید و بیومتریک کاربر را جمع‌آوری کند. همچنین قابلیت پخش زنده دوربین و میکروفون را دارد و می‌تواند از ورودی‌های صفحه‌کلید برای سرقت اطلاعات استفاده کند.تشخیص ZeroDayRAT بسیار دشوار است، زیرا ممکن است امضای دیجیتال داشته باشد و از سیستم‌های امنیتی عبور کند. پاک کردن آن نیز می‌تواند منجر به پاک‌سازی داده‌ها یا رفتارهای غیرمنتظره شود. تحلیلگران هشدار می‌دهند که فعالیت‌های فروش و به‌روزرسانی آن از طریق کانال‌های متعدد Telegram انجام می‌شود و مقابله با این تهدید نیازمند ابزارهای امنیتی پیشرفته و نظارت دقیق است.توصیه می‌شود کاربران از نصب برنامه‌ها از منابع غیررسمی خودداری کنند، سیستم‌عامل و اپلیکیشن‌ها را به‌طور منظم به‌روزرسانی کنند، احراز هویت چندمرحله‌ای (MFA) را فعال کنند و از مدیریت امنیت موبایل (MDM) و نظارت رفتاری بر اپلیکیشن‌ها استفاده کنند.
undefined منابع:[1] https://cybersecuritynews.com/new-zerodayrat-attacking-android-and-ios/
#ZeroDayRAT #Android #iOS #MobileSecurity #CyberThreatsundefined @cyberseclabs

۱۹:۲۶