امنیت
- حمله زنجیره تأمین به TanStack، Mistral AI و دیگران
یک حمله هماهنگ در ۱۱ مه ۲۰۲۶ بیش از ۱۷۰ پکیج npm و ۲ پکیج PyPI را آلوده کرد و اکوسیستمهایی مثل TanStack، Mistral AI و UiPath را هدف گرفت.
- لاراول از پسکیها پشتیبانی بومی میکنه
لاراول با معرفی پکیجهای first-party برای پسکی، احراز هویت بدون رمز عبور رو بهصورت بومی به اکوسیستمش اضافه کرد.
۳ ساعت پیش۲ دقیقهlaravel-news.com - Bleeding Llama: نشت حافظه بحرانی در Ollama
یک آسیبپذیری بحرانی در Ollama کشف شده که بدون نیاز به احراز هویت، کل حافظه فرآیند رو لو میده — از پیامهای کاربر گرفته تا متغیرهای محیطی.
- جریمه نزدیک به ۱ میلیون پوندی شرکت آب انگلیسی به خاطر نقص امنیتی
شرکت South Staffordshire Water تقریباً دو سال متوجه نفوذ باجافزار Cl0p نشد و حالا باید نزدیک به یک میلیون پوند جریمه بپردازد.
- هک Canvas با باگ XSS؛ پیام باجخواهی روی پورتال مدارس
شرکت Instructure تأیید کرد که هکرها با سوءاستفاده از چند آسیبپذیری XSS در Canvas، به پنل ادمینها دسترسی پیدا کردند و پیام باجخواهی روی پورتال مدارس گذاشتند.
- حمله زنجیره تأمین به پکیجهای TanStack در npm
روز ۱۱ مه ۲۰۲۶، یه مهاجم موفق شد ۸۴ نسخه آلوده از ۴۲ پکیج TanStack رو در npm منتشر کنه — بدون اینکه حتی یه توکن npm دزدیده بشه.
- Instructure باج داد تا اطلاعات ۲۷۵ میلیون کاربر Canvas برنگردد
شرکت Instructure پس از دو بار هک شدن سیستم مدیریت یادگیری Canvas، به گروه هکری ShinyHunters باج پرداخت کرد تا اطلاعات ۲۷۵ میلیون کاربر حفظ بشه.
- سرقت توکن OAuth از Claude Code بدون هیچ ردپایی
Mitiga Labs کشف کرده که مهاجمان میتونن توکن OAuth کلود کد رو از طریق یه حمله مرد میانی بدزدن و آنتروپیک این آسیبپذیری رو خارج از حوزه مسئولیت خودش دونسته.
- Frame Security: آموزش امنیتی شخصیسازیشده با هوش مصنوعی
Frame Security با جذب ۵۰ میلیون دلار سرمایه، پلتفرمی ساخته که آموزشهای امنیتی رو کاملاً بر اساس سازمان، نقشها و تهدیدهای واقعی هر شرکت شخصیسازی میکنه.
- LUKSbox: فایلهای رمزنگاریشده مقاوم در برابر کوانتوم
LUKSbox یه ابزار متنباز برای ساخت vault رمزنگاریشدهست که فایلهاتو قبل از آپلود روی کلود یا رسانههای مشترک، زیر کلید خودت قفل میکنه.
- کرم Mini Shai-Hulud برگشت: حمله زنجیره تأمین به پکیجهای TanStack
گروه تهدید TeamPCP با بدافزار خودانتشاردهندهای چندین پکیج npm از TanStack، Mistral و UiPath را آلوده کرد و اعتبارنامههای CI/CD توسعهدهندگان را به سرقت برد.
- گوگل یک حمله سایبری مبتنی بر هوش مصنوعی را خنثی کرد
گوگل اعلام کرد موفق شده یک عملیات هکری را که از هوش مصنوعی برای سوءاستفاده از یک آسیبپذیری ناشناخته استفاده میکرد، قبل از ایجاد خسارت متوقف کنه.
- آیا از ارائهدهنده احراز هویتت خبر داری؟
صنعت احراز هویت سالهاست به مشتریانش میگه «کاربرانت رو بشناس»، ولی خودش چقدر شفافه؟ این سوال الان جدیتر از همیشهست.
- گزارش GTIG: هکرها چطور از هوش مصنوعی برای حملات سایبری استفاده میکنن
تیم اطلاعات تهدید گوگل (GTIG) گزارش جدیدی منتشر کرده که نشون میده هکرها بهطور فزایندهای از هوش مصنوعی برای توسعه اکسپلویت، بدافزار خودمختار و عملیات اطلاعاتی استفاده میکنن.
- پلاگین Jenkins چکمارکس آلوده شد
یه نسخه مخرب از پلاگین Jenkins چکمارکس روی Jenkins Marketplace منتشر شد که اطلاعات کاربری توسعهدهندهها رو میدزدید.
- هانیپاتهای هوشمند: دامگذاری برای عاملهای مخرب AI
هوش مصنوعی حالا نهفقط ابزار مهاجمهاست، بلکه میتونه دامی باشه که خودشون توش گیر میکنن — با هانیپاتهایی که با یک پرامپت ساده راه میافتن.
- بکدور در Claude Code: وقتی هوکهای AI تبدیل به سلاح میشن
یه آسیبپذیری جالب در Claude Code کشف شده: مهاجم میتونه با یه فایل تنظیمات مخرب داخل ریپو، به محض اجرای ابزار توسط دولوپر، کد دلخواهش رو روی سیستم قربانی اجرا کنه.
- هک مخازن GitHub سیلپوینت؛ دسترسی غیرمجاز از طریق یک اپ شخص ثالث
سیلپوینت، شرکت مدیریت هویت و دسترسی، فاش کرد که مخازن GitHubاش در ۲۰ آوریل ۲۰۲۶ هک شدن — اما میگه دادههای مشتریان در امان بودن.
- وقتی git checkout کامپیوترت رو هک میکنه
یه پیام لینکدین از یه ریکروتر جعلی، یه ریپوزیتوری آلوده روی گوگل درایو، و یه git checkout کافی بود تا سیستم هک بشه.
- موزیلا: ۲۷۱ آسیبپذیری فایرفاکس با هوش مصنوعی، تقریباً بدون خطای کاذب
موزیلا پشتپرده کشف ۲۷۱ آسیبپذیری فایرفاکس با مدل هوش مصنوعی Anthropic Mythos رو توضیح داد و نشون داد چطور تقریباً همه گزارشها معتبر بودن.
