Olivia
Online
Bahaa Esmail
@webdivs
viewer discretion is advised
Egypt
Joined March 2008
690 Following
654 Followers
155 Posts
كابوس الـ Supply Chain Attacks ضرب الـ NPM بقوة اليومين اللي فاتوا!
هجوم ذكي جداً قدر يخترق باكدجات بيتعملها داونلود أكتر من 50 مليون مرة في الأسبوع، والمخيف إن الباكدجات دي كانت Signed و Verified ومحمية بـ npm's trusted publishing اللي المفروض يمنع النوع ده من الهجمات.
إزاي ده حصل؟
الموضوع كله بدأ من ثغرة في إعدادات الـ GitHub Actions، وتحديداً في استخدام pull_request_target. المهاجم عمل Fork لـ TanStack Repo، وفتح Pull Request وراح قافله في ساعتها.
بسبب الإعداد ده، الكود قدر يشتغل بصلاحيات الـ Repo الأساسي ويزرع ملف خبيث في الـ Shared cache بتاع الـ CI Server.
بعدها بكام ساعة، لما حصل Merge لـ PR تاني سليم، الملف الخبيث ده اشتغل، سرق الـ npm publish token من الـ Cache، وبدأ ينشر النسخ المضروبة.
ليه الفيروس ده ذكي ومرعب:
* أول ما تسطب الباكدج، بيعمل Scan لجهازك ويسرق أي Tokens تانية عشان يكمل انتشار لـ Packages تانية.
* بيزوّر Commits كأنها طالعة من Claude Code عشان تندمج مع الـ AI-generated code ومحدش من الـ Maintainers يشك فيها.
*والأخطر: بيعمل Background process تتأكد إن الـ GitHub token المسروق بتاعك لسه شغال. لو الـ Token حصله Expire، الفيروس بيفعّل وضع التدمير (Dead man switch) وبيمسح الـ Root directory بتاعك بالكامل.
إزاي نحمي الـ Pipelines والـ Infrastructure بتاعتنا؟
الحل الأفضل والأسرع حالياً هو استخدام PNPM عشان فيه ميزات قوية تقدر توقف الهجوم ده:
1. Minimum Release Age: بيمنع تسطيب أي باكدج لسه معمولها Publish من أقل من 24 ساعة، وده وقت كافي لاكتشاف الباكدجات الخبيثة.
2. Block Exotic Sub-dependencies: بيقفل الباب على الـ Malware إنه يسطب حاجات من بره الـ Registry الرسمي (زي S3 buckets أو Random Git repos).
3. Approved Builds: بيعمل Block لأي Install scripts بتشتغل أوتوماتيك مع تسطيب الباكدجات، وبيخليك تعمل Whitelist وتوافق بس على الباكدجات اللي بتثق فيها.
أمن الـ CI/CD مش رفاهية. راجعوا إعدادات الـ Workflows بتاعتكم كويس، وغيّروا الـ Tokens بانتظام.
#DevOps #CyberSecurity #GitHubActions #NPM #SupplyChainAttack #AI #InformationSecurity #CI_CD #WebDevelopment
We’re reimagining a 50-year-old interface - the mouse pointer - with AI. 🖱️
These experimental demos show how people can intuitively direct Gemini on their screens using motion, speech, and natural shorthand to get things done 🧵
واضح ان مستوي الثغرات تطور بشكل كبير فبعد ثغرة cPanel ظهرت ثغرة جديدة وخطيرة في Linux اسمها Copy Fail ورقمها CVE-2026-31431.
الثغرة اكتشفت بمساعدة أداة تحليل أمني مدعومة بالذكاء الاصطناعي اسمها Xint Code.
خطورتها إنها من نوع Local Privilege Escalation، يعني مش معناها إن أي حد من الإنترنت يقدر يدخل على السيرفر مباشرة، لكن لو المهاجم عنده وصول محدود، أو قدر يشغّل كود من خلال تطبيق مخترق، container، أو CI/CD job، ممكن يرفع صلاحياته لـ root.
المشكلة مرتبطة بجزء داخل Linux kernel اسمه "algif_aead" وواجهة "AF_ALG"، وممكن تأثر على توزيعات Linux رئيسية زي Ubuntu وRed Hat وSUSE وAmazon Linux وغيرها، حسب إصدار الـ kernel المستخدم.
المطلوب دلوقتي بسيط وواضح:
راجع الـ advisory الخاص بالتوزيعة اللي بتستخدمها، حدّث الـ kernel، واعمل restart للسيرفر بعد التحديث. ولو بتستخدم Kubernetes أو CI/CD، راجع سياسات seccomp وقلل صلاحيات أي workloads غير موثوقة.
الدرس المهم:
مش كل خطر كبير بييجي من ثغرة remote. أحيانا ثغرة local واحدة ممكن تحوّل اختراق بسيط لسيطرة كاملة على النظام.
#Linux #CyberSecurity #CVE #CloudSecurity #DevOps #Kubernetes #InfoSec #AI
شركة OpenAI بتواجه دعوى قضائية قيمتها 10 ملايين دولار!
في ست طلبت مساعدة قانونية من ChatGPT, النظام قال لها تسيب المحامي الحقيقي بتاعها, وفعلًا عملت كده
النظام اختلق أكتر من 40 مستند قضائي كامل، مستندات شكلها رسمي وقانوني، لكنها كلها كذب.. قوانين مش موجودة، قضايا عمرها ما حصلت، وقضاة عمرهم ما أصدروا أي حكم فيها, كل التفاصيل مفبركة بالكامل
الطرف التاني في القضية اضطر يرد على المستندات دي كلها، وصرف حوالي 300 ألف دولار عشان يرد على مستندات قانونية ووهمية بالكامل
نظام ذكاء اصطناعي اخترع سابقة قانونية كاملة… وما حدش لاحظ ده لفترة طويلة
بس صباح الخير دلوقتي OpenAI متقاضى عليها 10 ملايين دولار، والغريب إن نفس الشركة وقعت مؤخرًا اتفاق مع United States Department of Defense
شركة ما زالت بتواجه مشكلة إن نظامها يخترع قضايا قانونية غير حقيقية… وفي نفس الوقت بيتم إدخال تقنياتها في بيئات حساسة جدًا
🚨 أمازون تكتشف أن أحد مهندسي الأنظمة لديها يعمل فعليًا من كوريا الشمالية 🇰🇵.
كان فيه مهندس أنظمة (Sysadmin) يشتغل عن بُعد داخل Amazon في الولايات المتحدة.
كل شيء كان يبدو طبيعي… إلى أن لاحظت أنظمة الأمن شيء صغير جدًا. وهو (تأخير في بين ضغطة زر الكيبورد وبين الكتابة.)
كل ضغطة زر كان فيها تأخير أكثر من 110 ملي ثانية.
تأخير بسيط، لكنه غير منطقي لموظف يُفترض أنه يعمل من داخل أمريكا.
التحقيق كشف أن اللابتوب موجود فعليًا في ولاية أريزونا، لكن التحكم الحقيقي فيه كان يتم عن بُعد من كوريا الشمالية.
Amazon لاحقًا رفعت دعوى قضائية ضد وسيط محلي داخل الولايات المتحدة،
كان دوره توفير:
• أجهزة داخل أمريكا
• عناوين سكنية وهمية
• حسابات ورواتب
• وواجهة “شرعية” لإخفاء التشغيل الحقيقي القادم من الخارج
هذا الشخص ساعد في تمرير الهويات المزيفة،
وجعل الاختراق يبدو كأنه توظيف طبيعي.
ومنذ أبريل 2024،
Amazon تقول إنها أوقفت أكثر من 1,800 محاولة اختراق عبر التوظيف
مرتبطة بكوريا الشمالية،
مع زيادة 27% خلال الربع الأخير فقط.
والله إنها لفتنة كبرى
أن تعيش في عالم به كل هؤلاء الأوغاد.
Explore Gemini CLI, a light and powerful open-source AI agent that brings Gemini directly into your terminal. Try it with Gemini 2.5 Pro with high usage limits and no cost to: write code, debug, and automate tasks.
Learn more: https://t.co/bUj2JGCn8Z
😂
تصر المقاومة على صفعنا لنفيق.
قائد لا يختبئ
يرتدي زيه العسكري
ويحارب مع جنوده في صفوفهم الأولى.
متى يا ترى آخر مرة
رأينا فيها مثل هذا المشهد.
"لا علاقة لي بنواياك الحسنة حين تكون أفعالك سيئة، ولا شأن لي بجميل روحك ما دام لسانك مؤذياً."
هو انا ماليش في جو اني اتشطر ع البردعة و اسيب الحمار.. بس السف على صلاح هنا مسخرة 😀
طلاب إحدى الجامعات المصريه رغم الحر والعطش يتجاهلوا عبوات كوكاكولا توزع عليهم بالمجان كدعايه للشركه الداعمه للكيان ...
عاش شباب مصر الأبطال
في الماضي كانت الجرائم ضد الإنسانية
تحدث بعيدا عن انظار العالم وكانت تصل الى المجتمعات كأخبار فقط
واليوم تحدث الجرائم ضد الإنسانية في غزة على الهواء مباشرة يشاهدها مئات الملايين من الناس
دون ان يحرك العالم ساكن ويكتفي بالإدانة
وبذلك نحن في اسوء مرحلة ماتت فيها الإنسانية
😭😭😭
المهم الشاب الصحفي زبط الكاميرا والمايكروفون ودخل على الراجل وهو بيولع النار وقله ممكن نعمل لقاء معك يا حج عن معاناة النزوح، قام الراجل مادد إيده من باب الخيمة ومطلع كاسة زجاج وصب فيها للصحفي شاي وقله: اقعد يابنيّة ريح حالك واشرب هالشايات عالنار وبلا لقاء بلاهم هو في حدا بيشوفنا ولا بيسمعنا، اللي إحنا فيه الكل ماضي عليه، وقعد الصحفي وشرب الشايات ودخن سيكارة بتسعة شيكل ونص.
_محمود جودة
Last Seen Users on Sotwe
Trends for you
Most Popular Users
Elon Musk 
@elonmusk
240.1M followers
Barack Obama
@barackobama
119.3M followers
Donald J. Trump
@realdonaldtrump
111.6M followers
Cristiano Ronaldo
@cristiano
108.9M followers
Narendra Modi
@narendramodi
107M followers
Rihanna
@rihanna
97.3M followers
NASA
@nasa
92.1M followers
Justin Bieber
@justinbieber
90.6M followers
KATY PERRY
@katyperry
86.8M followers
Taylor Swift
@taylorswift13
80.6M followers
Lady Gaga
@ladygaga
72.1M followers
Kim Kardashian
@kimkardashian
69.4M followers
YouTube
@youtube
68.6M followers
Virat Kohli
@imvkohli
68.5M followers
Bill Gates
@billgates
63.4M followers
The Ellen Show
@theellenshow
62.5M followers
CNN
@cnn
61.9M followers
Neymar Jr
@neymarjr
61M followers
X
@x
60.9M followers
CNN Breaking News
@cnnbrk
59.9M followers