سه شنبه / ۱۵ مهر / ۱۴۰۴ Tuesday / 7 October / 2025
×
هک GitHub تپ‌تال: انتشار ۱۰ بسته npm مخرب با دانلود بیش از ۵٬۰۰۰ بار
نفوذ به GitHub تپ‌تال و انتشار بسته‌های مخرب npm

هک GitHub تپ‌تال: انتشار ۱۰ بسته npm مخرب با دانلود بیش از ۵٬۰۰۰ بار

تیم فنی
هک GitHub تپ‌تال: انتشار ۱۰ بسته npm مخرب با دانلود بیش از ۵٬۰۰۰ بار

هک GitHub تپ‌تال: انتشار ۱۰ بسته npm مخرب با دانلود بیش از ۵٬۰۰۰ بار

سازمان GitHub تپ‌تال در ۲۰ ژوئیه ۲۰۲۵ مورد نفوذ قرار گرفت؛ مهاجمان از دسترسی استفاده کرده و ۱۰ بسته مخرب را با کارکردهای سرقت توکن و پاک‌سازی سیستم منتشر کردند. این بسته‌ها تقریباً ۵٬۰۰۰ بار دانلود شدند پیش از اینکه حذف شوند.
  • ۸ مرداد
  • 40 بازدید
  • بدون دیدگاه
  • چرا React مانع XSS نشد: کتابچه جدید حملات تزریق جاوااسکریپت

    چرا React مانع XSS نشد: کتابچه جدید حملات تزریق جاوااسکریپت

    با وجود استفاده گسترده از React، حملات جدید XSS همچنان فعال هستند. مهاجمان با سوءاستفاده از زنجیره‌های عرضه، prototype pollution و تزریق هوشمندانه، توانسته‌اند از دفاع‌های قدیمی فریم‌ورک‌ها عبور کنند.
  • ۸ مرداد
  • 44 بازدید
  • بدون دیدگاه
  • چگونه مرورگرها به اصلی‌ترین سطح حمله سایبری در سال ۲۰۲۵ تبدیل شدند؟

    چگونه مرورگرها به اصلی‌ترین سطح حمله سایبری در سال ۲۰۲۵ تبدیل شدند؟

    در سال ۲۰۲۵ مرورگرها به اصلی‌ترین هدف مهاجمان سایبری تبدیل شده‌اند. ترکیب افزونه‌های آلوده، بدافزارهای مبتنی بر وب و تکنیک‌های فریبکارانه اجتماعی، مرورگر را به نقطه ضعف اصلی زیرساخت دیجیتال بدل کرده است.
  • ۸ مرداد
  • 41 بازدید
  • بدون دیدگاه
  • ظهور Chaos RaaS پس از نابودی BlackSuit: باج‌افزاری جدید با شیوه‌های پیچیده حمله

    ظهور Chaos RaaS پس از نابودی BlackSuit: باج‌افزاری جدید با شیوه‌های پیچیده حمله

    پس از جمع‌آوری زیرساخت BlackSuit توسط مراجع امنیتی، گروهی جدید به نام Chaos RaaS با الگوی باج‌افزار به‌عنوان سرویس (RaaS) فعالیت خود را آغاز کرده است. این گروه از روش‌های نوآورانه‌ای همچون مهندسی اجتماعی صوتی برای نفوذ به قربانیان استفاده می‌کند.
  • ۸ مرداد
  • 37 بازدید
  • بدون دیدگاه
  • هشدار رسمی PyPI: حملات فیشینگ هدفمند علیه توسعه‌دهندگان پایتون در جریان است

    هشدار رسمی PyPI: حملات فیشینگ هدفمند علیه توسعه‌دهندگان پایتون در جریان است

    پلتفرم رسمی PyPI نسبت به کمپین فیشینگ فعالی هشدار داده که توسعه‌دهندگان را هدف قرار داده است. مهاجمان با ارسال ایمیل‌های جعلی حاوی لینک‌های مخرب، تلاش می‌کنند اعتبارنامه‌های PyPI را سرقت کنند.
  • ۸ مرداد
  • 43 بازدید
  • بدون دیدگاه
  • کشف باگ حیاتی دورزدن کنترل دسترسی در پلتفرم کدنویسی AI محور Base44

    کشف باگ حیاتی دورزدن کنترل دسترسی در پلتفرم کدنویسی AI محور Base44

    تحقیقات Wiz نشان داد که دو endpoint مربوط به ثبت‌نام و تایید OTP در Base44 بدون کنترل app_id محافظت شده بودند. این باگ به مهاجم اجازه می‌داد بدون احراز هویت وارد اپ خصوصی کاربران دیگر شود.
  • ۸ مرداد
  • 45 بازدید
  • بدون دیدگاه
  • هک بیش از ۳۵۰۰ وب‌سایت برای استخراج رمزارز به صورت مخفیانه

    هک بیش از ۳۵۰۰ وب‌سایت برای استخراج رمزارز به صورت مخفیانه

    هکرها بیش از ۳۵۰۰ وب‌سایت را هدف حمله قرار داده‌اند تا با استفاده از کدهای مخرب، رمزارز استخراج کنند. این عملیات بدون اطلاع کاربران و مدیران سایت‌ها انجام شده است.
  • ۳۱ تیر
  • 51 بازدید
  • بدون دیدگاه
  • عملیات جاسوسی APT41 علیه زیرساخت‌های فناوری اطلاعات آفریقا

    عملیات جاسوسی APT41 علیه زیرساخت‌های فناوری اطلاعات آفریقا

    گروه APT41 وابسته به چین با استفاده از سرورهای SharePoint داخلی به‌عنوان C2 حملات هدفمند علیه سازمان‌های دولتی و فناوری در آفریقا انجام داده‌اند. این کمپین با بدافزارهای اختصاصی، سرقت اعتبارسنجی و سایر ابزارهای نفوذ همراه بوده است.
  • ۳۱ تیر
  • 56 بازدید
  • بدون دیدگاه