تا همین چند وقت پیش یک باگ زیرو کلیک توی Agent Deep Research چت‌‌جی‌پی‌تی openai بود که میتونست به یه مهاجم اجازه بده با فقط فرستادن یه ایمیل مخصوص، بدون اینکه کاربر حتی یه کاری بکنه، اطلاعات حساس اینباکس جیمیل رو لو بده.
اسم این کلاس جدید از حمله رو Radware گذاشته ShadowLeak. بعد از اینکه موضوع روز ۱۸ ژوئن ۲۰۲۵ به‌صورت مسئولانه گزارش شد، اوپن‌ای‌آی اوایل آگوست مشکل رو برطرف کرد.

«حمله از یه تزریق پرامپت غیرمستقیم استفاده میکنه که میشه توی HTML ایمیل قایمش کرد (فونت خیلی ریز، متن سفید روی زمینه سفید، ترفندهای لِی‌آوت) تا کاربر اصلاً متوجه دستورات نشه، ولی ایجنټ همچنان اونا رو میخونه و اجرا میکنه.»
این جمله رو محققای امنیت Zvika Babo، Gabi Nakibly و Maor Uziel گفتن:
«برخلاف پژوهشای قبلی که برای راه‌انداختن نشت باید رندر تصویر سمت کلاینت فعال میشد، این حمله داده‌ ها رو مستقیماً از زیرساخت ابری اوپن‌ای‌آی بیرون میکشه، و این یعنی دفاعای محلی یا شرکتی معمولی عملاً هیچ دیدی نسبت بهش ندارن.»
از طرفی Deep Research که اوپن‌ای‌آی فوریه ۲۰۲۵ راه انداخت، یه قابلیت عامل‌ محور توی چت‌جی‌پی‌تیه که چندمرحله‌ ای روی اینترنت تحقیق میکنه تا گزارش‌ های مفصل بده. طی سال گذشته، قابلیت‌ های تحلیلی مشابه به بعضی چت‌ باتای معروف دیگه مثل Google Gemini و Perplexity هم اضافه شده.
طبق توضیحات Radware، توی حمله، یه ایمیل ظاهراً بی‌خطر فرستاده میشه به قربانی که داخلش با متن سفید روی زمینه سفید یا ترفندهای CSS دستورات نامریی قرار داده شده دستورات میگن ایجنت بره اطلاعات شخصی‌شون رو از بقیه ایمیل‌های توی اینباکس جمع کنه و به یه سرور خارجی بفرسته.
بعد وقتی قربانی از ChatGPT Deep Research میخواد ایمیل‌های جیمیلش رو تحلیل کنه، ایجنت اون تزریق پرامپت غیرمستقیم داخل ایمیل مخرب رو میخونه و اطلاعات رو در قالب Base64 رمزگذاری شده به مهاجم میفرسته با استفاده از ابزار browser.open().

نقل قول:
«ما یه پرامپت جدید ساختیم که صریحاً به ایجنټ گفته بود از ابزار browser.open() با اون URL مخرب استفاده کنه.» Radware گفت. «استراتژی نهایی و موفق‌ مون این بود که ایجنت رو وادار کنیم قبل از چسبوندن داده‌ها به URL، اطلاعات PII استخراج‌ شده رو به Base64 تبدیل کنه. ما این کار رو به‌عنوان یه تدبیر امنیتی برای محافظت از داده‌ها طی انتقال قالب‌بندی کردیم.»
اثبات مفهوم (PoC) به فعال بودن اتصال Gmail توسط کاربر بستگی داره، اما این حمله میتونه به هر کانکتوری که ChatGPT پشتیبانی میکنه گسترش پیدا کنه مثل Box، Dropbox، GitHub، Google Drive، HubSpot، Microsoft Outlook، Notion یا SharePoint — که عملاً سطح حمله رو بزرگ‌تر میکنه.
برخلاف حمله‌ هایی مثل AgentFlayer و EchoLeak که سمت کلاینت رخ میدن، نشت اطلاعات توی ShadowLeak مستقیم داخل فضای ابری اوپن‌ای‌آی رخ میده و از کنترل‌ های امنیتی سنتی هم عبور میکنه. همین نبودِ دید و نظارت، تفاوت اصلی این حمله با بقیه آسیب‌ پذیری‌ های تزریق غیرمستقیم پرامپته.

هم‌زمان با این افشا، پلتفرم امنیتی AI به اسم SPLX نشون داد که با پرامپت‌ های دقیق و context poisoning میشه محدودیت های داخلی ایجنت چت‌جی‌پی‌تی رو دور زد و حتی کپچاهای تصویری‌ ای که برای ثابت کردن انسان بودن تعبیه شده‌اند رو حل کرد.

اساسا میان یه چت معمولی ChatGPT-4o باز میکنن و مدل رو قانع میکنن که برای چیزی که بهش گفته شده لیستی از کپچا های تقلبی رو حل کنه. مرحله بعد، یه چت ایجنټ جدید باز میکنن و گفتگوی قبلی با LLM رو اونجا پیست میکنن و میگن این «بحث قبلی ما» بوده در نتیجه مدل بدون مقاومت کپچاها رو حل میکنه.
«ترفند این بود که کپچا رو به‌عنوان 'تقلبی' قاب‌بندی کنن و مکالمه‌ای بسازن که توش ایجنټ قبلا قبول کرده ادامه بده. با به ارث بردن اون کانتکست، دیگه علائم هشداردهنده معمول رو نمیدید.» محقق امنیتی Dorian Schultz گفت.
«ایجنت فقط کپچاهای ساده رو حل نکرد، حتی کپچاهای تصویری رو هم حل کرد طوری که مکان‌نمای موس رو هم طوری حرکت میداد که شبیه رفتار انسانی باشه. مهاجم‌ها میتونن کنترل‌های واقعی رو 'تقلبی' جا بزنن تا دورشون بزنن؛ این موضوع ضرورت حفظ یکپارچگی کانتکست memory hygiene و رد تیمینگ مداوم رو روشن میکنه.»

یه گروه روسی که بهش COLDRIVER میگن، تازه یه دور جدید از حملات به سبک ClickFix راه انداخته که هدفشون نصب دو خانواده بدافزار با سبک جدید هستن، که محققا بهشون میگن BAITSWITCH و SIMPLEFIX.
شرکت Zscaler ThreatLabz که اوایل همین ماه کمپین چندمرحله‌ای جدید ClickFix رو کشف کرده بود، BAITSWITCH رو یه downloader معرفی کرده که در نهایت SIMPLEFIX رو میریزه . SIMPLEFIX هم یه backdoor نوشته شده با PowerShell‌ هستش .
از طرفی COLDRIVER که بعضیا بهش Callisto یا Star Blizzard یا UNC4057 هم میگن، نامیه که به یه شخص مرتبط با روسیه دادن. این گروه از ۲۰۱۹ تا حالا کلی بخش مختلف رو هدف گرفته. موج‌ های اول کارشون معمولاً با فیشینگ هدفمند بودن که کاربر رو میفرستادن صفحه‌های دزدی credential، اما کم‌کم ابزارای اختصاصی هم ساختن مثل SPICA و LOSTKEYS، که نشون میده از نظر فنی حسابی سطحشون بالاتر رفته.
استفادهٔ این گروه از تاکتیک‌های ClickFix قبلاً هم توسط Google Threat Intelligence Group (GTIG) توی می ۲۰۲۵ مستندسازی شده بود؛ اونجا گفتن که از سایتای تقلبی استفاده میکردن که یه CAPTCHA دروغین نشون میدن و کاربر رو فریب میدادن تا یه دستور PowerShell اجرا کنه که قرار بوده LOSTKEYS رو تحویل بده (با Visual Basic Script).
Zscaler تو گزارشش نوشته: «استفادهٔ مداوم از ClickFix نشون میده که این روش هنوز هم یه وکتور نفوذ موثر، حتی اگه جدید یا از نظر فنی خیلی پیچیده نباشه.»
اینو Sudeep Singh و Yin Hong Chang از محققای امنیت Zscaler نوشتن.
زنجیره جدید حمله تقریباً همون مدل قبلیه: قربانی رو فریب میدن که یه DLL مخرب رو تو پنجرهٔ Run ویندوز اجرا کنه، تحت پوشش اینکه دارن یه CAPTCHA رو تکمیل میکنن. همون DLL که BAITSWITCH نام داره به یه دامنه کنترل‌شده توسط مهاجم میره ("captchanom.top") تا SIMPLEFIX رو دانلود کنه، و همزمان یه فایل فریبنده (decoy) روی Google Drive به قربانی نشون داده میشه.
از طرفی BAITSWITCH چندتا درخواست HTTP هم به همون سرور میزنه تا اطلاعات سیستم رو بفرسته، دستوراتی بگیره برای ساخت persistence، payloadهای رمزگذاری‌ شده رو تو رجیستری ویندوز ذخیره کنه، یه stager PowerShell دانلود کنه، و بعد جدیدترین دستور اجراشده در Run dialog رو پاک کنه تا عملاً ردپاهای حمله ClickFix که باعث آلوده شدن شدن رو پاک کنه.
اون PowerShell stager که دانلود میشه بعدش میره به سرور خارجی دیگه‌ ای ("southprovesolutions.com") تا SIMPLEFIX رو بگیره، و SIMPLEFIX بعد از نصب با سرور command-and-control (C2) کانکت میشه تا PowerShell اسکریپت‌ها، فرمان‌ها و باینری‌ هایی که روی آدرس‌ های ریموت میزبانی شدن رو اجرا کنه.
یکی از اسکریپت‌ های PowerShell که از طریق SIMPLEFIX اجرا میشه، اطلاعات مربوط به یه لیست از نوع فایل‌ها رو که تو یه لیست از پوشه‌ ها از پیش کانفیگ شده دنبال میکنه و بیرون میکشه. اون لیست پوشه‌ ها و پسوند فایل‌ هایی که اسکن میشن تا حدودی با لیست LOSTKEYS هم تلاقی داره.
Zscaler گفته: «گروه APT COLDRIVER معمولاً اعضای NGOها، مدافعان حقوق بشر، اندیشکده‌ها تو مناطق غربی و همچنین افراد تبعیدی یا ساکن خارج از روسیه رو هدف قرار میده.» تمرکز این کمپین هم دقیقاً با این «ویکتیمولوژی»شون همخوانی داره؛ یعنی هدفشون اعضای جامعه مدنی که ارتباطی با روسیه دارن بوده.
در همین حال، کسپرسکی گفته اوایل سپتامبر یه کمپین جدید فیشینگ علیه شرکتهای روسی دیدن که توسط گروه BO Team (همون Black Owl یا Hoody Hyena یا Lifting Zmiy) انجام شده؛ تو این حمله از آرشیو های RAR با رمزعبور استفاده کردن تا نسخه جدیدی از BrockenDoor که با C# بازنویسی شده و یه نسخهٔ به‌روز از ZeronetKit رو تحویل بدن.
ZeronetKit که با زبان Golang نوشته شده، یه backdoor که قابلیت‌ هایی مثل دسترسی ریموت به هاست‌های آلوده، آپلود/دانلود فایل، اجرای فرمان با cmd.exe و ایجاد یه تونل TCP/IPv4 داره. بعضی نسخه‌های جدیدتر حتی از دانلود و اجرای shellcode پشتیبانی میکنن، و زمان‌بندی ارتباط با C2 و لیست سرورهای C2 هم توش تغییر کرده.
کسپرسکی میگه: «ZeronetKit به تنهایی نمیتونه خودشو روی سیستم آلوده پابرجا کنه، پس مهاجمین از BrockenDoor استفاده میکنن تا backdoor دانلود شده رو تو startup کپیش کنن.» یعنی BrockenDoor کار persistence کردن رو انجام میده.
همچنین یه گروه تازه به اسم Bearlyfy هم ظهور کرده که از نمونه‌های باج‌ افزار مثل LockBit 3.0 و Babuk تو حملاتش علیه روسیه استفاده کرده؛ ابتدا شرکتای کوچیکتر رو میزدن و باجای کمتر میگرفتن، بعد از آوریل ۲۰۲۵ سراغ شرکتهای بزرگتر هم رفتن، طبق گزارش F6. تا اوت ۲۰۲۵، تخمین زده میشه حداقل ۳۰ قربانی داشتن.

در ادامه :

تو یکی از حملات علیه یه شرکت مشاوره‌ ای، مهاجمین از یه نسخهٔ آسیب‌ پذیر Bitrix برای دسترسی اولیه استفاده کردن و بعد از اون با بهره‌ برداری از باگ Zerologon سطح دسترسی رو بالا بردن. در یه مورد دیگه که تو جولای ثبت شده، دسترسی اولیه از طریق یه شرکت شریک (نامعلوم) فراهم شده بوده.
گفته: «تو آخرین حمله ثبت‌ شده، مهاجمین ۸۰,۰۰۰ یورو به صورت رمزارز درخواست کردن، در حالی که تو اولین حمله باج چند هزار دلار بود.» به خاطر مبلغ نسبتاً پایین باج، به طور متوسط از هر پنج قربانی، دکریپتور رو از مهاجم میخره یکیشون .

تحلیلگران میگن Bearlyfy از ژانویهٔ ۲۰۲۵ فعاله، و بررسی عمیق ابزارهاشون نشون داده که زیرساخت‌ هایی شبیه یه گروه احتمالا طرفدار اوکراین به اسم PhantomCore دارن، که از ۲۰۲۲ شرکتهای روسی و بلاروسی رو هدف میگرفته. با وجود این شباهت‌ ها، فرض میشه Bearlyfy یه گروه مستقل باشه.
شرکت (تحلیلگر) گفته: «PhantomCore حملات چند مرحله‌ ای و پیچیده‌ ای رو پیاده میکنه که شبیه کمپین‌های APT هست، اما Bearlyfy مدل متفاوتی داره: حملاتی با کمترین آماده‌سازی و تمرکز صرفا روی نتیجه فوری. دسترسی اولیه معمولاً از طریق سوء استفاده از سرویس‌ های خارجی یا اپلیکیشن‌های آسیب‌پذیر انجام میشه. ابزار اصلی‌شون برای رمزگذاری، تخریب یا تغییر داده‌هاست.»

صنعت مخابرات و بخش تولید تو کشور های مرکزی و جنوبی آسیا حسابی هدف یه کمپین شدن که داره یه واریانت جدید از یه بدافزار معروف به اسم PlugX (همونی که بعضی‌ ها Korplug یا SOGU هم میگن) پخش میکنه.
«ویژگی‌ های واریانت جدید با هر دو بکدور RainyDay و Turian همپوشونی داره، از جمله سو استفاده از همون برنامه‌ های مشروع برای DLL side-loading، الگوریتم XOR-RC4-RtlDecompressBuffer که برای رمزنگاری/رمزگشایی payload ها استفاده میشه و همینطور کلیدهای RC4 که استفاده میشن.» اینو محققای Cisco Talos، Joey Chen و Takahiro Takeda، تو یه تحلیل که این هفته منتشر کردن گفتن.
شرکت امنیت سایبری اشاره کرده که پیکربندی همراه با واریانت PlugX خیلی با فرمت معمول پیکربندی PlugX متفاوته؛ در واقع ساختارش همون ساختاریه که تو RainyDay استفاده میشه ، یعنی همون ساختار بکدوری که قبلا به یه گروه مرتبط با چین به اسم Lotus Panda (که بعضیا Naikon APT صداش میزنن) نسبت داده شده بود. همینطور به نظر میاد کسپرسکی اینو به اسم FoundCore دنبال میکنه و اون گروهی که کسپرسکی میگه بهش Cycldek میگن، احتمالا چینی‌ زبان این قضیه باشه.

از طرفی DFIR Retainer Services
این PlugX یه RAT ماژولار (remote access trojan) هست که کلی گروه هک مرتبط با
چین ازش استفاده میکنن، ولی معروف‌ ترین استفاده کنندش Mustang Panda هست (که کلی نام مستعار داره مثل BASIN، Bronze President، Camaro Dragon، Earth Preta، HoneyMyte، RedDelta، Red Lich، Stately Taurus، TEMP.Hex، و Twill Typhoon).

از طرف دیگه Turian (که بعضی جاها Quarian یا Whitebird هم صداش میزنن)، برآورد میشه یه بکدوریه که صرفا توسط یه گروه APT دیگه با ربط به چین که بهش BackdoorDiplomacy میگن (اسمای دیگش CloudComputating یا Faking Dragon هست) تو حملات علیه خاورمیانه به کار رفته.
الگوی قربانی‌ها به‌ویژه تمرکز روی شرکت‌ های مخابراتی و پیاده‌ سازی فنی بدافزار شواهدی داده که نشون میده احتمالا یه ارتباطایی بین Lotus Panda و BackdoorDiplomacy وجود داره. این یعنی یا اون دو خوشه در واقع یکی هستن، یا اینکه هر دو دارن از یه فروشنده ابزار عمومی مشترک ابزار میگیرن.

تو یه مورد که شرکت کشف کرده، گفته میشه Naikon یه شرکت مخابراتی تو قزاقستان رو هدف گرفته کشوری که با ازبکستان هم‌ مرز و ازبکستان قبلا توسطBackdoorDiplomacy نشونه رفته بود. ضمنا هر دو گروه هکر روی کشورهای جنوب آسیا هم زوم کردن.
رنج حمله‌ ها اساسا اینه که از یه اجرایی مشروع مرتبط با Mobile Popup Application سو استفاده میشه تا یه DLL مخرب رو sideload کنن، و اون DLL بعدا برای رمزگشایی و اجرا کردن payload های PlugX، RainyDay و Turian در حافظه استفاده میشه. موج‌های اخیر حمله که توسط این بازیگر اجرا شده خیلی روی PlugX تکیه داشتن، که اونم از همون ساختار پیکربندی RainyDay استفاده میکنه و حتی یه پلاگین keylogger هم داخلش جاسازی شده.
«با اینکه ما نمیتونیم قطعی بگیم که یه ارتباط کاملا روشن بین Naikon و BackdoorDiplomacy وجود داره، ولی جنبه‌های همپوشون قابل توجهی هست مثل انتخاب اهداف، روش‌ های رمزنگاری و رمزگشایی payload، بازاستفاده از کلیدهای رمزنگاری و استفاده از ابزارهایی که توسط همون فروشنده پشتیبانی میشن.» Talos گفته. «این شباهت‌ ها یه لینک با اعتماد متوسط به یه بازیگر چینی‌ زبان رو تو این کمپین نشون میده.»

این افشا شدن همزمان شده با اینکه Palo Alto Networks Unit 42 درباره عملکرد داخلی بدافزار Bookworm که از ۲۰۱۵ توسط بازیگر Mustang Panda استفاده شده، اطلاعات منتشر کرده؛ بدافزاری پیشرفته که کنترل گسترده‌ای روی سیستم‌ های آلوده فراهم میکنه. این RAT پیشرفته قابلیت اجرای فرمان دلخواه، آپلود و دانلود فایل، خروج اطلاعات و برقرار کردن دسترسی پایدار رو داره.
اوایل همین مارس، اون شرکت امنیتی گفت حملاتی که کشورهایی که عضو ASEAN هستن رو هدف گرفته بودن برای پخش این بدافزار شناسایی کرده.

از طرفی Bookworm از دامین‌های ظاهرا مشروع به‌دست‌ اومده برای مقاصد C2 استفاده میکنه تا با ترافیک شبکه عادی قاطی شه. بعضی واریانت‌ های انتخاب‌ شده از این بدافزار هم تداخل‌هایی با TONESHELL دارن، بکدور شناخته‌شده‌ای که از اواخر ۲۰۲۲ با Mustang Panda مرتبط شده.
مثل PlugX و TONESHELL، زنجیره‌ های حمله‌ ای که Bookworm رو پخش میکنن هم روی DLL side-loading برای اجرای payload تکیه دارن، هرچند واریانت‌ های جدیدتر تکنیکی رو پذیرفتن که shellcode رو به صورت رشته‌های UUID بسته‌بندی میکنه، بعد اون‌ها رو decode کرده و اجرا میکنه.

در ادامه همین خبر :

«باید توجه کنیم که Bookworm بخاطر معماری ماژولار خاصش شناخته شده، که اجازه میده عملکرد اصلی‌ اش با لود کردن ماژول‌ های اضافی مستقیما از سرور C2 گسترش پیدا کنه.» Kyle Wilhoit محقق Unit 42 گفته. «این ماژولار بودن تحلیل استاتیک رو سخت‌ تر میکنه، چون ماژول Leader به DLLهای دیگه وابسته‌ هست تا عملکرد خاصی رو فراهم کنن.»

«این استقرار و سازگاری Bookworm، که همزمان با سایر عملیات‌های Stately Taurus اجرا میشه، نقش بلندمدت اون در زرادخانه بازیگر رو نشون میده. همچنین نشون‌دهنده تعهد بلندمدت و پایدار گروه به توسعه و استفاده از این بدافزاره.»

محققای امنیت سایبری دارن زنگ خطر رو برای یه کمپین به‌ صدا در میارن که هدفش سایت‌ های وردپرس هست . این حمله جاوا اسکریپت‌ های مخرب تزریق میکنه که کارش هدایت کاربرا به سایتای مشکوک و قلابیه.
«بازدید کننده سایت محتوای تزریق‌ شده‌ ای میبینه که مثل یه مالور درایو-بای عمل میکنه مثلاً یه تاییدیه Cloudflare جعلی. این حرف پریا سری واسواوا از شرکت Sucuri بود که هفته پیش تو یه تحلیل گفته.
شرکت امنیت وب گفت که بعد از اینکه یکی از مشتری‌هاش دید سایت وردپرسش به بازدیدکننده‌ ها جاوا اسکریپت شخص ثالث مشکوکی سرو میده، بررسی کرد و آخر سر فهمیدن نفوذگرها فایل مربوط به تم سایت (functions.php) رو دستکاری کرده بودن و کد مخربی توش گذاشته بودن.
کدی که توی functions.php جا زده بودن، ارجاع‌ هایی به Google Ads داره احتمالاً برای اینکه شناسایی رو سخت کنه. اما در واقعیت این کد نقش یه لودر از راه دور رو داره: یه درخواست HTTP POST به دامنه "brazilc.com" میفرسته و اون دامنه هم پاسخ میده با یه payload داینامیک که دو تا بخش داره که یکیش یه فایل جاوااسکریپت که روی یه سرور راه دور میزبانی شده porsasystem.com و تا الان تو 17 تا وبسایت دیده شده و کدش برای انجام ریدایرکت سایت‌ها نوشته شده
یه تکه کد جاوااسکریپت که یه iframe مخفی 1x1 پیکسل میسازه و داخلش کدی تزریق میکنه که شبیه فایلای legit کلودفلیر میشه، مثلا "cdn-cgi/challenge-platform/noscripts/jsd/main.js" همونی که بخشی از API تشخیص بات و پلتفرم چلنج کلودفلیره
از طرفی قابل ذکره که دامنه porsasystem.com به‌عنوان بخشی از یه سیستم توزیع ترافیک (TDS) علامت‌گذاری شده؛ این TDS اسم‌های مختلفی داره مثل Kongtuke (که گاهی 404 TDS، Chaya_002، LandUpdate808 و TAG-124 هم صداش میکنن).
طبق اطلاعاتی که یه اکانت به اسم monitorsg تو Mastodon در 19 سپتامبر 2025 منتشر کرده، زنجیره آلودگی از اینجور شروع میشه که کاربر وارد یه سایت آلوده میشه، در نتیجه اجرای porsasystem.com/6m9x.js راه میافته، و بعد به porsasystem.com/js.php میره و آخر سر قربانی‌ ها رو میفرسته به صفحات به سبک ClickFix که برای پخش بدافزار استفاده میشن.
این یافته‌ ها نشون میده که باید امنیت سایت های وردپرسی رو بیشتر کنیم: پلاگین‌ها، تم‌ها و نرم‌افزار سایت رو به‌روز نگه داریم، رمزعبورهای قوی اعمال کنیم، سایت رو برای رفتارهای عجیب و اکانت‌های ادمین غیرمنتظره اسکن کنیم چون نفوذگرها ممکنه برای دسترسی پایدار حتی بعد از پاک‌سازی، اکانت ادمین جدید بسازن.
خالق صفحات ClickFix با IUAM ClickFix Generator#
این افشاگری همزمانه با گزارش Palo Alto Networks Unit 42 که درباره یه کیت فیشینگ به اسم IUAM ClickFix Generator نوشته؛ ابزاری که به مهاجم‌ ها اجازه میده با تکنیک اجتماعی ClickFix کاربران رو آلوده کنن و صفحات لندینگ قابل کاستومایز بسازن.

این حمله به فرد مخرب اجازه میده صفحات فیشینگ قابل سفارشی‌ ای بسازن که رفتار چالش-پاسخ یه صفحه تأیید مرورگر رو تقلید میکنه، همونی که شبکه‌ های تحویل محتوا و ارائه‌ دهنده‌ های امنیت ابری معمولا برای دفاع در برابر تهدیدات اتوماتیک استفاده میکنن.» محقق امنیتی عامر السعد گفت. «این رابط تقلیدی طوری طراحی شده که برای قربانی‌ها مشروع به‌نظر برسه، و همین باعث میشه طعمه موثرتر باشه.»
صفحات فیشینگ ساخته‌ شده با این کیت امکاناتی هم دارن مثل دستکاری کلیپ‌بورد که یه قدم کلیدی تو حمله ClickFix هست و تشخیص سیستم عامل کاربر تا دنباله آلودگی رو مناسب با اون سیستم عامل بچینن و بدافزار سازگار سرو کنن.
در حداقل دو مورد مختلف، مهاجم‌ها از صفحات تولید شده با این کیت استفاده کرده بودن تا استیلرهایی مثل DeerStealer و Odyssey Stealer رو پخش کنن؛ Odyssey Stealer مخصوص هدف قرار دادن سیستم‌ های Apple macOS طراحی شده.
ظهور IUAM ClickFix Generator به هشدار قبلی مایکروسافت هم اضافه میشه؛ مایکروسافت گفته بود از اواخر 2024 شاهد افزایش کیت سازهای تجاری ClickFix توی فروم‌های زیرزمینی هستن. یه مثال قابل توجه دیگه از کیت فیشینگی که این امکان رو ادغام کرده، Impact Solutions بوده.
«این کیت‌ ها ساخت صفحات لندینگ با انواع طعمه‌ های موجود از جمله Cloudflare رو ارائه میکنن.» مایکروسافت اوت 2025 گفته بود. «همچنین ساخت دستورات مخرب که کاربر باید توی Run ویندوز paste کنه رو هم فراهم میکنن. این کیت‌ها ادعا میکنن که تضمین میکنن آنتی‌ ویروس و محافظت وب رو دور بزنین (برخی حتی قول میدن از Microsoft Defender SmartScreen هم عبور کنن)، و همچنین پایداری payload رو هم ادعا میکنن.»
بدیهیه که این ابزارها مانع ورود رو برای مجرمان سایبری پایین‌ تر میارن و بهشون اجازه میدن حملات پیچیده و چندسکویی رو در مقیاس بالا، بدون تلاش یا تخصص فنی زیاد، اجرا کنن.

در ادامه خبر دیشب:
یه سری یافته‌ ها دنبال کشف یه کمپین جدید اومدن که فرمول ClickFix رو بهبود داده و یه تکنیک زیرکانه‌ ای به اسم cache smuggling به‌کار گرفته تا کمتر جلب توجه کنه، به‌جای اینکه صریحا فایل مخربی روی میزبان هدف دانلود کنه.
«این کمپین با نمونه‌ های قبلی ClickFix فرق داره چون اسکریپت مخرب هیچ فایلی دانلود نمیکنه و با اینترنت هم ارتباط برقرار نمی‌کنه.» مارکوس هاتچیِنز، محقق اصلی تهدید در Expel گفت. «این با استفاده از کش مرورگر انجام میشه تا به‌صورت پیش‌ دستی داده دلخواه رو روی ماشین کاربر ذخیره کنه.»
تو حمله‌ ای که این شرکت ثبت کرده، صفحه‌ای با تم ClickFix خودش رو جا زده به‌عنوان یه Fortinet VPN Compliance Checker و با ترفندهای FileFix کاربر رو فریب میده تا Windows File Explorer رو باز کنه و یه فرمان مخرب رو تو نوار آدرس paste کنه تا payload اجرا بشه.
فرمان نامرئی طوری طراحی شده که یه اسکریپت PowerShell رو از طریق conhost.exe اجرا کنه. ویژگی خاص این اسکریپت اینه که هیچ بدافزار اضافی‌ ای رو دانلود نمیکنه و با سروری که مهاجم کنترل میکنه هم کانکشنی برقرار نمیکنه . در عوض، یه payload رو اجرا میکنه که خودش رو به‌صورت یه تصویر JPEG جا میزنه و همون فایل قبلا توسط مرورگر وقتی کاربر روی صفحه فیشینگ بوده در کش ذخیره شده.
«نه صفحه وب و نه اسکریپت PowerShell صریحا فایلی دانلود نمیکنن.»

هاتچینز توضیح داد که «با فقط اجازه دادن به مرورگر برای کش کردن اون 'تصویر' جعلی، بدافزار تونسته یه فایل زیپ کامل رو روی سیستم محلی قرار بده بدون اینکه فرمان PowerShell نیازی به انجام درخواست وب داشته باشه.»
«پیامدهای این تکنیک نگران‌ کننده‌ ان، چون cache smuggling ممکنه راهی برای فرار از محافظت‌ها ارائه کنه محافظت‌ هایی که در غیر این صورت فایل‌های مخرب رو موقع دانلود و قبل از اجرا شناسایی میکنن. یه فایل به‌ظاهر بی‌آلایش 'image/jpeg' دانلود میشه، بعد محتویاتش استخراج میشه و بعد با یه فرمان PowerShell که توی طعمه فیشینگ ClickFix مخفی شده اجرا میشه.»

یه گروه با ریشه‌ هایی که به پاکستان وصل میشن دیده شده که داره نهادهای دولتی هند رو هدف قرار میده؛ حملاتشون فیشینگ هدفمند بوده و هدفشون کار گذاشتن یه بدافزار نوشته‌شده با زبان Go (Golang) به اسم DeskRAT بوده.
این فعالیت‌ ها رو توی آگوست و سپتامبر ۲۰۲۵ شرکت امنیتی Sekoia مشاهده کرده و نسبت میدن به گروهی به اسم Transparent Tribe (که بهش APT36 هم میگن) یه گروه حمایت‌ شده از طرف دولت که لااقل از سال ۲۰۱۳ فعاله. این کمپین جدید در واقع روال قبلی‌ ای رو هم دنبال میکنه که شرکت CYFIRMA تو آگوست ۲۰۲۵ منتشر کرده بود.
رشته حمله‌ها چطوری بوده؟
ایمیل‌های فیشینگ ارسال میکردن که یه فایل ZIP ضمیمه‌ شده داشت یا بعضی مواقع لینکی میذاشتن که آرشیوی رو روی سرویس‌ های ابری قانونی مثل Google Drive نگه داشته بود. داخل فایل ZIP یه فایل دسکتاپ مخرب بوده که دستورات جاسازی‌ شده‌ای داشته این دستورات طوری طراحی شده بودن که یه PDFِ گول زننده (با اسم "CDS_Directive_Armed_Forces.pdf") رو با موزیلا فایرفاکس باز کنه تا کاربر گول بخوره، و هم‌زمان payload اصلی رو اجرا کنه.
هر دو فایل مخرب از یه سرور خارجی به اسم "modgovindia.com" کشیده میشن و اجرا میشن. مثل قبل، هدف حمله‌ ها سیستم‌ های لینوکسی BOSS (Bharat Operating System Solutions) بوده و این تروجان دسترسی راه‌دور (RAT) میتونه با استفاده از WebSockets خودش رو به سرور کنترل و فرمان (C2) وصل کنه.
بدافزار برای پایداری (persistence) چهار روش مختلف پشتیبانی میکنه:
ساختن یه سرویس systemd،
تنظیم یه کرون جاب (cron job)،
اضافه کردن بدافزار به پوشه autostart لینوکس ($HOME/.config/autostart)،
و تغییر فایل .bashrc تا تروجان اجرا بشه از طریق یه اسکریپت شل که توی دایرکتوری $HOME/.config/system-backup/ نوشته میشه.
این DeskRAT پنج تا فرمان مختلف پشتیبانی میکنه اینا رو یکی‌ یکی میگم تا واضح باشه:
دستور ping یه پیام JSON میفرسته که شامل timestamp فعلیه، و همراهش یه pong هم به سرور C2 میفرسته.
دستور heartbeat  یه پیام JSON میفرسته که داخلش heartbeat_response و timestamp هست.
دستور browse_files لیست دایرکتوری‌ها رو ارسال میکنه.
دستور start_collection  دنبال فایل‌ هایی میگرده که با مجموعه‌ای از پسوندهای مشخص مطابقت داشته باشن و اندازشون کمتر از ۱۰۰ مگابایت باشه، بعد اون فایل‌ها رو میفرسته.
دستور upload_execute یه payload اضافی (پایتون، شل یا دسکتاپ) میذاره روی سیستم و اجراش میکنه.
شرکت امنیتی فرانسوی گفته: «سرورهای C2ِ DeskRAT به عنوان «سرورهای استیلت» (stealth servers) نام‌گذاری شدن. تو این زمینه، یک سرور استیلت یعنی یه name server که در رکوردهای NS عمومی دامنه مربوطه نمایش داده نمیشه.» (یعنی تلاش میکنن ردپاهاشون تو DNS عمومی دیده نشه.)
اونا اضافه کردن که در حالی که کمپین‌های اولی از پلتفرم‌های ذخیره‌سازی ابری مشروع مثل Google Drive استفاده میکردن تا payloadها رو پخش کنن، Transparent Tribe حالا رفته سراغ استفاده از سرورهای مرحله‌ بندی اختصاصی (dedicated staging servers).
این یافته‌ها بعد از یه گزارش دیگه از QiAnXin XLab منتشر شد؛ توی اون گزارش توضیح داده شده که کمپین روی نقاط پایان ویندوزی هم تمرکز داشته و از یک درب‌ پشتی نوشته‌شده با Go که اونا اسمش رو گذاشتن Stealth Server استفاده میکردن ، از طریق ایمیل‌ های فیشینگ که فایل‌ های دسکتاپ (booby-trapped Desktop file attachments) داشتن؛ که نشون میده تمرکز این عملیات فراتر از یه پلتفرم و در واقع cross-platform هست.
قابل ذکره که StealthServer برای ویندوز سه نسخه داره:
StealthServer Windows-V1 (مشاهده‌شده در جولای ۲۰۲۵): از چند تکنیک ضدتحلیل و ضددیباگ استفاده میکنه تا کشف نشه؛ پایداری رو با Scheduled Tasks، یه اسکریپت PowerShell که به پوشه Startup ویندوز اضافه میشه، و تغییرات در ریجستری ویندوز برقرار میکنه؛ و برای ارتباط با سرور C2 از TCP استفاده میکنه تا فایل‌ها رو فهرست‌بندی و فایل‌های مشخصی رو آپلود/دانلود کنه.
StealthServer Windows-V2 (مشاهده‌شده اواخر آگوست ۲۰۲۵): چک‌های ضددیباگ جدیدی اضافه کرده برای ابزارهایی مثل OllyDbg، x64dbg و IDA، در حالی که عملکرد اصلی رو حفظ کرده.
StealthServer Windows-V3 (مشاهده‌شده اواخر آگوست ۲۰۲۵): از WebSocket برای ارتباط استفاده میکنه و عملکردش همون چیزیه که DeskRAT انجام میده.
نکته مهم: این نفوذها روی استخراج (exfiltration) ارتباطات WhatsApp از میزبان‌های آلوده هم تمرکز داشتن از ماژول‌هایی مثل Uplo Exfiltrator و Stom Exfiltrator که مخصوص گرفتن فایل‌های رد و بدل‌شده در این پلتفرم پیامرسان محبوب هستن.

ادامه خبر رو وقت نکردم بذارم :

ابزار دیگه‌ای که گروه استفاده میکنه ChromeStealer Exfiltrator هست که همون‌طور که اسمش میگه، میتونه کوکی‌ ها، توکن‌ها و اطلاعات حساس دیگه رو از Google Chrome بیرون بکشه، و علاوه‌ بر این فایل‌های مرتبط با WhatsApp رو هم منتقل کنه.
این افشاگری تصویر یه گروه هکری رو نشون میده که دیگه فقط روی ابزارهای ساخته‌ شده توسط گروه‌های دیگه تکیه ندارن و تبدیل شدن به یه عملیات تهدید پیچیده که خودشون زرادخونه‌ای از بدافزارهای سفارشی دارن. این دشمن (adversary) شناخته شده که همپوشانی‌های تاکتیکی‌ ای با گروه‌هایی مثل Origami Elephant، Confucius، و SideWinder داره همشون ارزیابی شدن که با منافع هند در ارتباط هستن.
کلمه‌ آخر از یه نقل‌قول از شرکت Kaspesky (توی متن اصلی با همین املاء اومده): «Mysterious Elephant یه گروه APT خیلی پیشرفته و فعال هست که تهدید بزرگی برای نهادهای دولتی و بخش‌های مربوط به امور خارجه در منطقه آسیا-پاسفیک به حساب میاد. استفاده از ابزارهای ساخته‌شده اختصاصی و هم ابزارهای متن‌باز، مثل BabShell و MemLoader، نشون‌دهنده‌ مهارت فنیشون و تمایل شون برای سرمایه‌گذاری در توسعه بدافزارهای پیشرفتس.»

افشای آسیب‌پذیری‌های بحرانی در runC؛ تهدیدی جدی برای زیرساخت‌های مبتنی بر Docker و Kubernetes
اخیراْ سه آسیب‌پذیری با سطح شدت بالا در ابزار runC شناسایی شده است؛ مولفه‌ای کلیدی که به‌عنوان موتور اجرای کانتینر در زیرساخت‌های Docker، Kubernetes و Podman مورد استفاده قرار می‌گیرد. این آسیب‌پذیری‌ها با شناسه‌های CVE-2025-31133، CVE-2025-52565 و CVE-2025-52881 می‌توانند به مهاجمان اجازه دهند از محیط ایزوله کانتینر خارج شده و به سطح سیستم میزبان (Host) با دسترسی Root نفوذ کنند — رخدادی که امنیت کل زنجیره‌ی کانتینری را به خطر می‌اندازد.
کارشناسان امنیتی هشدار داده‌اند که این نقص‌ها در صورت اجرای کانتینرهای دارای پیکربندی Mount خاص یا استفاده از Dockerfile‌های آلوده، قابل بهره‌برداری هستند. گرچه تاکنون شواهدی از سوءاستفاده فعال گزارش نشده است، اما با توجه به اهمیت گسترده‌ی runC در زیرساخت‌های ابری و DevOps، اعمال به‌روزرسانی فوری حیاتی است توصیه می‌شود مدیران سامانه‌ها نسخه‌ی runC را حداقل به 1.2.8، 1.3.3 یا 1.4.0-rc3 ارتقا دهند و در صورت امکان از user namespaces و rootless containers برای کاهش سطح دسترسی بهره ببرند.

یه آسیب‌پذیری امنیتی خیلی خطرناک تو پلتفرم اتوماسیون n8n پیدا شده که اگه یکی بتونه ازش سوءاستفاده کنه، ممکنه بتونه هر کدی که دلش بخواد رو روی سیستم اجرا کنه، البته تو شرایط خاصی.
این باگ با شناسه CVE-2025-68613 ثبت شده و امتیاز امنیتی‌اش ۹.۹ از ۱۰ هست (یعنی تقریباً حداکثر خطر ممکن ). طبق آمار npm، این پکیج حدود ۵۷ هزار بار در هفته دانلود میشه.
توسعه‌ دهنده‌ها گفتن:

"توی یه سری شرایط خاص، وقتی یه کاربر لاگین کرده داره یه workflow تنظیم میکنه، ممکنه یه expression که وارد کرده تو یه محیطی اجرا بشه که به اندازه کافی از محیط اصلی جدا نیست."

یعنی چی؟ یعنی یه هکر که اکانت داره (یا دسترسی گرفته)، میتونه از همین موضوع استفاده کنه و کد دلخواه خودش رو با دسترسی برنامه n8n اجرا کنه. اگه موفق بشه، میتونه کل اون instance رو در اختیار بگیره که شامل دسترسی به داده‌های حساس، تغییر workflowها، یا حتی اجرای دستورهای سیستمی .
این مشکل تو تمام نسخه‌های بین 0.211.0 تا قبل از 1.120.4 وجود داره.
ولی خوشبختانه تو نسخه‌های 1.120.4، 1.121.1 و 1.122.0 برطرف شده.
طبق گزارش پلتفرم Censys، تا تاریخ ۲۲ دسامبر ۲۰۲۵ حدود ۱۰۳,۴۷۶ تا instance ممکنه هنوز آسیب‌پذیر باشن. بیشترشون هم تو آمریکا، آلمان، فرانسه، برزیل و سنگاپور هستن.
به خاطر شدت این باگ، خیلی تاکید شده که سریع‌تر از سریع آپدیت کنید.
اما اگه به هر دلیلی فعلاً نمیتونید آپدیت کنید، حداقل:
فقط به افراد قابل اعتماد اجازه ساخت و ویرایش workflow بدید،
قدم دوم میتونه این باشه که n8n رو تو محیطی اجرا کنید که دسترسی سیستمی و شبکه‌اش محدود باشه،
تا خطرش کمتر بشه.

یه سری threat hunter یه سری فعالیت جدید پیدا کردن که مربوط میشه به یه گروه هکری ایرانی به اسم Infy که بهش میگن Prince of Persia. این اتفاق حدود پنج سال بعد از آخرین باریه که این گروه دیده شده بودن موقعی که قربانی‌ هایی تو سوئد، هلند و ترکیه رو هدف گرفته بودن.

از طرفی Tomer Bar، معاون ارشد تحقیقات امنیتی شرکت SafeBreach توی یه گزارش فنی که برای The Hacker News فرستاده گفته:
«میزان فعالیت‌های Prince of Persia خیلی بیشتر از چیزیه که اول فکر میکردیم. این گروه هنوز فعاله، خطرناکه و هنوزم اهمیت داره.»
طبق گزارشی که شرکت Palo Alto Networks Unit 42 تو ماه مه ۲۰۱۶ منتشر کرده (و نویسنده‌هاش تومر بار و Simon Conant بودن)، رد پای فعالیت‌های اولیه‌ این گروه برمیگرده به دسامبر ۲۰۰۴. یعنی Infy یکی از قدیمی‌ترین گروه‌ های APT توی دنیا حساب میشه.

برخلاف بقیه گروه‌ های هکری ایرانی مثل Charming Kitten (APT35)، MuddyWater (Static Kitten) و OilRig (APT34)، گروه Infy تونسته خیلی بی‌ سروصدا بمونه و زیاد جلب توجه نکنه.
حملاتی که بهش نسبت داده میشه معمولاً شامل دو بخش اصلی بدافزاریه:
یه دانلودر و پروفایلر قربانی به اسم Foudre که مرحله دوم آلودگی رو انجام میده، یعنی یه ایمپلنت به اسم Tonnerre رو اجرا میکنه تا از سیستم‌ های مهم دیتا بدزده. بررسی‌ها نشون میدن که Foudre معمولاً از طریق ایمیل‌ های فیشینگ پخش میشه.
یافته‌های جدید SafeBreach
تحقیقات جدید SafeBreach نشون میده که یه کمپین مخفی هست که قربانی‌ها رو توی ایران، عراق، ترکیه، هند، کانادا و چند کشور اروپایی هدف گرفته.
توی این حملات از نسخه‌ های جدید Foudre (v34) و Tonnerre (v12–18, v50) استفاده شده، و آخرین نسخه Tonnerre توی سپتامبر ۲۰۲۵ شناسایی شده.
زنجیره آلودگی (Attack Chain) این کمپین هم تغییر کرده:
قبلاً از فایل‌های Excel با ماکرو برای اجرای بدافزار استفاده میکردن، اما توی نسخه‌ های جدید، یه فایل اجرایی (executable) رو مستقیم داخل سند میذارن تا Foudre نصب بشه.
یه نکته مهم تو روش کارشون اینه که از DGA استفاده میکنن تا زیرساخت C2 مقاوم‌ تر بشه و به این راحتی از کار نیفته.

بدافزارهای Foudre و Tonnerre یه مکانیزم دارن که بررسی میکنه دامنه‌ های C2 واقعی هستن یا نه.
روش کارش این‌ جوریه:
بدافزار یه فایل RSA signature از سرور C2 دانلود میکنه.
بعد با public key که داخل خود بدافزار هست رمزگشاییش میکنه.
نتیجه رو با یه فایل محلی مقایسه میکنه تا مطمئن بشه دامنه معتبره.
تحلیل SafeBreach نشون داده که توی سرور C2 یه فولدر به اسم "key" هست که برای همین کار استفاده میشه، و فولدرای دیگه‌ای هم هستن برای نگه داشتن communication logs و فایل‌های دزدیده‌ شده (exfiltrated files).
به گفته‌ تومر بار:
«بدافزار Foudre هر روز یه فایل امضا (signature file) دانلود میکنه که با RSA private key مهاجم رمزگذاری شده، بعد با RSA verification و public key داخلی بررسی میکنه که دامنه‌ای که بهش وصله واقعاً مجازه یا نه.
فرمت درخواستش هم اینطوریه:
https://<domain name>/key/<domain name><yy><day of year>.sig»
یه فولدر دیگه به اسم "download" هم روی سرور C2 هست که هنوز دقیق معلوم نیست برای چیه، ولی احتمالاً برای آپدیت یا دانلود نسخه‌های جدید بدافزار استفاده میشه.

نسخه‌های جدید Tonnerre یه قابلیت جدید دارن که از طریق سرور C2 با یه گروه تلگرام ارتباط میگیرن.
اسم این گروه "سرافراز" (به انگلیسی: Proudly) و دو تا عضو داره:
یه ربات تلگرام با یوزرنیم @ttestro1bot برای ارسال دستور و جمع‌آوری دیتا.
یه کاربر انسانی با هندل @ehsan8999100.
استفاده از تلگرام برای C2 چیز عجیب و غریبی نیست، اما چیزی که جالبه اینه که اطلاعات مربوط به این گروه توی یه فایل به اسم "tga.adr" ذخیره شده که داخل یه پوشه به اسم "t" روی سرور C2 قرار داره.
دانلود این فایل فقط برای قربانی‌ هایی ممکنه که GUIDشون تو یه لیست مشخص (whitelist) باشه.

تحقیقات SafeBreach چند تا نسخه قدیمی از Foudre که بین ۲۰۱۷ تا ۲۰۲۰ استفاده شده بودن رو هم پیدا کرده:
یه نسخه که خودش رو جای Amaq News Finder زده بود تا بدافزار رو دانلود و اجرا کنه؛
یه تروجان جدید به اسم MaxPinner که توسط Foudre v24 DLL دانلود میشد و برای جاسوسی از محتوای تلگرام به کار میرفت؛
یه نمونه دیگه شبیه به اسم Deep Freeze که مثل Amaq News Finder قربانی رو آلوده میکرد؛
و یه بدافزار ناشناخته با نام Rugissement.

یه خبر از باگ امنیتی جدید توی MongoDB دیدم که جالب بود ، یه باگ امنیتی با شدت بالا توی MongoDB
کشف شده این باگ با کد CVE-2025-14847 (امتیاز CVSS: 8.7) شناخته میشه .

تأثیر این باگ روی چه نسخه‌هایی از MongoDB هست؟

MongoDB نسخه‌های 8.2.0 تا 8.2.3
MongoDB نسخه‌های 8.0.0 تا 8.0.16
MongoDB نسخه‌های 7.0.0 تا 7.0.26
MongoDB نسخه‌های 6.0.0 تا 6.0.26
MongoDB نسخه‌های 5.0.0 تا 5.0.31
MongoDB نسخه‌های 4.4.0 تا 4.4.29
همه‌ی نسخه‌های MongoDB Server v4.2
همه‌ی نسخه‌های MongoDB Server v4.0
همه‌ی نسخه‌های MongoDB Server v3.6

خلاصه اینکه خیلی نسخه‌ها رو شامل میشه.
مشکل توی نسخه‌های زیر اصلاح شده:

8.2.3,
8.0.17,
7.0.28,
6.0.27,
5.0.32,
4.4.30,


تیم MongoDB گفته: «یه اکسپلویت  کلاینت ساید از طریق پیاده‌ سازی zlib سرور میتونه حافظه‌ heap رو بدون احراز هویت برگردونه.» و تاکید کرده که «ما شدیدا پیشنهاد میکنیم هر چه سریع‌ تر به نسخه‌ ای که این مشکل رو رفع کرده ارتقا بدید و یا حداقل اگر امکانش نیست پیشنهاد کردن zlib رو غیرفعال کنی .»
  سرور MongoDB (mongod یا mongos) رو با گزینه‌های networkMessageCompressors یا net.compression.compressors طوری استارت بزنی که zlib توی لیست کامپرسور ها نباشه. MongoDB از فشرده‌ سازهای دیگه هم پشتیبانی میکنه، مثل snappy و zstd پس اون‌ها رو باید جایگزین کنی.

این باگ از نحوه پردازش پیام‌های فشرده‌ شده با zlib توی MongoDB ناشی میشه: اگر هدر شامل مقدار طولی باشه که با طول واقعی داده‌ها سازگار نیست، دیکامپرسور zlib توی سرور میتونه طوری عمل کنه که بخش‌هایی از حافظهٔ heap که قبلاً اختصاص داده ولی مقداردهی نشده (uninitialized heap) رو در خروجی پاسخ بفرسته.

یعنی: این آسیب‌پذیری خوندن تصادفی از حافظه پردازش (memory disclosure) ایجاد میکنه و نه چیز دیگه ای مثل اجرای کد دلخواه روی سرور؛ داده‌ هایی که لو میرن میتونن تکه‌ هایی از مقادیر قبلی حافظه باشن (مثلاً بافرهای قدیمی، پوینتر ها ، بخش‌ هایی از داده‌ های که قبلاً در پردازش بوده‌اند، شاید حتی داده‌ های حساس اگر در حافظه نگهداری شده باشند). منابع رسمی هم همین رو میگن.

نکته مهم: «خواندن حافظهٔ مقداردهی‌ نشده» یعنی سرور عمدا فایل یا دیتابیس رو نمیفرسته؛ بلکه بخش‌هایی از فضای حافظهٔ پروسس (heap) که هنوز مقداردهی نشده یا محتویات قبلی رو دارند به عنوان بخشی از پاسخ بیرون میاد ، بسته به شانس و شرایط ممکنه حاوی داده حساس باشه یا نباشه، اما امکان لو رفتن اطلاعات واقعی وجود داره

افشای اطلاعات در حافظه‌ : ممکنه رشته‌ها، کوئری‌ها، توکن‌ها، اشاره‌گرها، یا هر چیزی که قبلاً در heap بوده ظاهر بشه. این اطلاعات میتونن برای گام‌های بعدی حمله (شناخت ساختار، ریکان، یا حتی بدتر) استفاده بشن.
بدون نیاز به احراز هویت: مهاجم میتونه از راه دور بدون لاگین، با ارسال پیام‌ های فشرده کاستوم شده، این وضعیت رو trigger کنه.

یه باگ امنیتی توی LangChain Core پیدا شده که توی اون یه مهاجم میتونه برای دزدیدن اطلاعات حساس مثل API key یا secretها ازش استفاده کنه، یا حتی از طریق prompt injection روی پاسخ‌ های LLM تأثیر بذاره.

ما میدونیم که LangChain Core پکیج پایتونه که توی اکوسیستم LangChain استفاده میشه و رابط‌ها و abstraction های پایه‌ای برای ساخت اپ‌ هایی که با LLM کار میکنن رو فراهم میکنه.

این باگ با شناسه CVE-2025-68664 ثبت شده و امتیازش تو CVSS برابر 9.3 از 10 (که یعنی خیلی بحرانیه). یه محقق امنیتی به اسم Yarden Porat این آسیب‌پذیری رو توی ۴ دسامبر ۲۰۲۵ گزارش کرده و اسم مستعارش رو گذاشتن LangGrinch .

به گفته‌ تیم LangChain، یه آسیب‌ پذیری از نوع serialization injection توی توابع dumpd() و dumps() وجود داره. مشکل اینجاست که این توابع وقتی یه دیکشنری با کلید "lc" رو serialize میکنن، اون کلید رو درست escape نمیکنن.
کلید "lc" در واقع به‌صورت لوکال توی LangChain برای علامت‌ گذاری آبجکت‌ های serialize شده استفاده میشه. یعنی اگه یه کاربر (یا مهاجم) بتونه دیتایی بفرسته که شامل "lc" باشه، موقع deserialize شدن، اون داده به‌ جای اینکه فقط یه دیکشنری معمولی باشه، به‌عنوان یه آبجکت LangChain واقعی تفسیر میشه ...

از طرفی Porat توضیح داده که اصل داستان اینه که این دو تابع وقتی با دیکشنری‌ هایی که کلید "lc" دارن سروکار دارن، اون کلید روescape نمیکنن و در نتیجه، اگه مهاجم بتونه یه چرخه serialize/deserialize رو کنترل کنه و یه "lc" بذاره توش، میتونه باعث بشه LangChain یه آبجکت ناامن دلخواه بسازه و این یعنی هر کاری بخواد با اون آبجکت انجام میتونه بده .

نتیجه‌ این کار میتونه چیزای مختلفی باشه، مثلا:
استخراج secret ها از environment variable ها، مخصوصا وقتی که deserialization با گزینه‌ secrets_from_env=True انجام میشه (که قبلا به‌صورت پیش‌ فرض روشن بود)،
ساخت کلاس‌ هایی از namespace های به‌ ظاهر امن مثل langchain_core، langchain، یا langchain_community،
و حتی اجرای کد دلخواه از طریق template های Jinja2...

از اون بدتر اینکه این باگ باعث میشه مهاجم بتونه ساختار آبجکت‌ های LangChain رو از طریق فیلدهایی مثل metadata, additional_kwargs, یا response_metadata تزریق کنه چیزی که کاملا میتونه از طریق prompt injection اتفاق بیفته.

توی پچ جدیدی که LangChain منتشر کرده، چند تا تغییر امنیتی مهم اعمال شده:
توی توابع load() و loads() یه پارامتر جدید به اسم allowed_objects اضافه شده که باهاش میتونی مشخص کنی چه کلاس‌ هایی مجازن serialize/deserialize بشن (یعنی یه allowlist واقعی).
پشتیبانی از قالب‌ های Jinja2 به‌صورت پیش‌فرض غیرفعال شده.
گزینه‌ secrets_from_env دیگه به‌ صورت پیش‌ فرض False شده، تا دیگه خودکار secret ها رو از محیط بارگذاری نکنه.


نسخه‌ هایی که درگیر این باگ بودن عبارتند از:
نسخه‌های >= 1.0.0 و < 1.2.5 (در نسخه‌ 1.2.5 فیکس شده)
نسخه‌های < 0.3.81 (در نسخه‌ی 0.3.81 فیکس شده)

جالبه بدونین که یه باگ تقریبا مشابه هم توی LangChain.js پیدا شده، با شناسه‌ CVE-2025-68665 (امتیاز CVSS = 8.6)، که اونم به خاطر همین ماجرای escape نکردن "lc" موقع serialize کردن اتفاق میوفته و باز باعث سرقت secret یا prompt injection میشه.

بسته‌های npm آسیب‌پذیر شامل اینا هستن:

@langchain/core نسخه‌های >= 1.0.0 و < 1.1.8 (در 1.1.8 فیکس شده)
@langchain/core نسخه‌های < 0.3.80 (در 0.3.80 فیکس شده)
langchain نسخه‌های >= 1.0.0 و < 1.2.3 (در 1.2.3 فیکس شده)
langchain نسخه‌های < 0.3.37 (در 0.3.37 فیکس شده)

چون این آسیب‌ پذیری خیلی بحرانیه، توصیه شده که کاربرا هرچه زودتر آپدیت کنن .

یه جای دیگه Porat گفته رایج‌ترین مسیر حمله از طریق فیلد هایی مثل additional_kwargs یا response_metadata توی خروجی LLMهاست، چون میتونه از طریق prompt injection کنترل بشه و بعد توی فرآیند serialize/deserialize دوباره بارگذاری بشه.
به قول خودش:

"این دقیقا همون نقطه‌ ای هست که امنیت سنتی و هوش مصنوعی با هم برخورد میکنن و خیلی از سازمان‌ها غافلگیر میشن چون خروجی LLM در اصل یه ورودی غیرقابل اعتماد محسوب میشه."