هفته‌ای پر سر و صدا: روز‑صفر کروم، داده‌پاک‌کن‌ها و حملات بدون کلیک به آیفون

این هفته گوگل آسیب‌پذیری V8 کروم را وصله کرد، PathWiper داده‌پاک‌کن اوکراینی فعال شد، و حملات پیچیده‌ای مانند Zero‑Click آیفون و فیشینگ صوتی (vishing) با سوء‌استفاده از ابزارهای معتبر برقرار شد. همچنین، مهاجمان WordPress با افزونه‌های جعلی به سراغ مدیران سایت‌ها رفتند .

موتور جاوااسکریپت و WebAssembly در مرورگر کروم دستخوش نقص بحرانی‌ای شد که امکان خواندن و نوشتن خارج از محدوده را فراهم می‌کرد. گوگل نسخه‌های ۱۳۷.۰.۷۱۵۱.۶۸/.۶۹ را برای ویندوز، macOS و لینوکس منتشر کرد تا آسیب‌پذیری CVE-2025-5419 را پوشش دهد.

در اوکراین، بدافزار جدید PathWiper شبیه نمونه‌ اولیه HermeticWiper شناسایی شده است که از طریق چارچوب مدیریتی در زیرساخت هدف نصب شده و داده‌ها را پاک می‌کند.

گروه هکری BladedFeline در عراق با بدافزارهای Whisper و Spearal و گروه UNC6040 با فیشینگ صوتی و نصب نسخه جعلی Salesforce Data Loader، حملات هدفمند علیه کارکنان دولتی و سازمانی را اجرا کرده‌اند.

حملات بدون کلیک (Zero‑Click) بر آیفون‌ها، مرتبط با آسیب‌پذیری در iMessage (فرآیند imagent) بوده‌اند. این حملات ماه مارس ۲۰۲۵ مشاهده شده و اپل پچ آن را در iOS 18.3.1 عرضه کرده است .

سوءاستفاده از افزونه وردپرس جعلی «wp-runtime-cache» جهت سرقت رمز عبور مدیر، حملات Airdrop جعلی NFT برای سرقت ارز دیجیتال، و آموزش استفاده از ASR مایکروسافت برای کاهش سطح حمله بخش‌هایی دیگر از بررسی این هفته هستند

The Hacker News