SE | Cybersecurity

@ez_a_juzernevem @vxunderground GPT doesn’t swing a baseball bat, I do 🔨 While you're busy checking my ahh response TeamPCP is busy checking your env files.Stay safe though

@Rootlap @vxunderground gpt ahh response

The LiteLLM supply chain attack is big shenanigans. I have to explain the whole thingie though so you can get the full context of the shenanigans. TeamPCP (the people who probably did it) is unironically swinging a big ass fuck off baseball bat, they're swinging for the moon. tl;dr see picture of cat as summary I also want to preface this with I DID NOT PERFORM THIS ANALYSIS. I almost never do open-source solutions malware stuff and this is also more in the line of work with DFIR (Digital Forensics and Incident Response). This summary comes from various peers and colleagues of mine who have been discussing TeamPCP the past couple of days. DFIR nerds I sourced: - @ramimacisabird - @InsiderPhD Non DFIR nerds I sourced: - @IceSolst - @IntCyberDigest Yeah, so pretty much this group of nerds named TeamPCP bamboozled an open-source security product called Trivy. TeamPCP sent a pull request on GitHub but did it with "pull_request_target". Normally a pull request isn't a big deal. Nerds do it all the time. "pull_request_target" though is designed to copy secrets, tokens, etc. pull_request_target is a legit thing. People do it all the time. It should only be performed by people you trust. TeamPCP impersonated a legitimate GitHub contributor. Trivy was caught slippin'. When TeamPCP did pull_request_target they stole access tokens to a place called Aqua Security. Aqua Security was like, "lol gosh dang it" and did what you were supposed to do. They rotated access tokens and passwords and stuff. However, Aqua made an oopsie and forgot to rotate the stuff for one of their automation bots. Once TeamPCP had access they injected malicious code which steal environment variables, SSH keys, cloud credentials, cryptotokens, etc into three things. - Trivy - Trivy GitHub actions - Trivy Docker stuff As is tradition, once TeamPCP put malware into Trivy stuff, anyone who did anything with Trivy was given malware. TeamPCP got a metric poop ton of stolen data and began using it to move to NPM projects. The projects they infected next was infected with a malware people named "CanisterWorm". In extreme summary, CanisterWorm placed stuff in package.json from the infected NPM project. Every new infected NPM project would download malware to the machine that (unsurprisingly) stole your data. TeamPCP seems to have been inspired by the North Korean government, or ALPHV ransomware group, because instead of stealing data to their server they store it on the blockchain ... making it virtually impossible to takedown. LiteLLM takes place somewhere between Trivy and CanisterWorm. As of this writing the exact way TeamPCP got access to LiteLLM is unknown, however it's heavily speculated it is from Trivy. TeamPCP also stated very bluntly they got access from Trivy but ... they could also be lying. This may come as a surprise, but sometimes criminals lie to cover their tracks. LiteLLM infection though was a few more degrees amplified than the previous stuff. LiteLLM infection also attempts lateral movement by automating Kubernetes stuff. LiteLLM infection also steals a ton more data than previous stuff. Here is the big ass list of stuff it steals: - SSH keys - AWS credentials and configurations - GCP credentials and configurations - Azure environment variables - Kubernetes credentials and configurations - Environment configurations - Shell History - Git credentials and configurations - Docker credentials and configurations - Database instances - IaC / CI/DI - SSL private keys - Solana keys - Crypto wallets - VPN credentials and configurations - Hashicorp vault (?) - NPM configurations - SMTP credentials TeamPCP is unironically putting in big moves. What makes them unusual is how profoundly aggressive they are. It isn't uncommon for Threat Actors to attempt things like this, but TeamPCP is doing something more akin to "smash and grab" rather than "stay silent and watch".

@shayesh_2 اسهل واخطر طريقة للأختراق هي اختراق عقول البشر حتى انها اسهل من اختراق الأنظمة نفسها هذه ما تسمى "الهندسة الاجتماعية" من منكم يعرف امثلة للهندسة الاجتماعية؟!

. #فوايد_التنبيش 👇🏿 شايفين كيف يخترقون الناس .. افتعال محتوى ببدو عفويا عن اي موضوع .. في حالتنا هذه قدم صاحب الحساب محتوى عن طقس الشرق الاوسط وتوقعات ووو .. لقي حسابه تفاعل .. واظهر ابتهاجه ان له متابعين في الشرق الاوسط .! وفي الاخير صاحب الحساب وتطبيقه مثل ما تشوفون 👇🏿 .

@mosthssan معلومة ببلاش😉 القصة الخوارزمية تطلب شروط عشان ما توقف حسابك 1-موثق الحساب بالاشارة الزرقاء. 2-موثق الحساب بالهوية. 3-موثق الحساب برقم الهاتف والمصادقة الثنائية جرب هذي الطرق وما بيتوقف حسابك ابدا ان شاء الله 🙂

قدنا اقول ليش المنصة امس زعلت وأوقفت حسابي وحذفت الثريد. لأنه مثلا كان يكشف طريقة تخليك بتعليق واحد تحقق ربع مليون .

شرح رهيب وبسيط! 🔥 بس تدرون وش المشكلة؟ ​إن الفايرول (Firewall) مثل حارس العمارة.. يفتش اللي داخل من الباب بس لو الحرامي أصلاً جوا العمارة (مثل فلاشة ملغومة أو رابط خبيث فتحه موظف) الفايرول بيجلس يتفرج عليه وهو يسرق الشقق! ​عشان كذا الأمن السيبراني مو بس جدار، هو طبقات السؤال هو مين فيكم لسه يعتقد إن الفايرول وحده يحميه من كل شيء؟ 🛡️

ىـ Day93 تعريف بسيط عن الفايرول🛡️ 💻 الجهة اليسار ذي أجهزتك: جوال، لابتوب، كمبيوتر كلها داخل في الشبكة الداخلية 🌐 الجهة اليمين هذا الإنترنت العام الخارجي الجدار الناري Firewall أي اتصال معروف يمر عادي أي اتصال مشبوه ❌ ينرمي في الـ Dustbin (تفاعلك يساعد غيرك)🤎

اليابانيين دايماً سابقين عصرهم بس مو لدرجة يغردوا قبل ما ينولد تويتر بـ 14 سنة الحقيقة إن السالفة 'تلاعب بالوقت' (Unix Timestamp Manipulation) لا أكثر أي مبرمج يعرف إن الوقت في السيرفرات يُحسب بالثواني من تاريخ 1 يناير 1970 باستخدام الـ API، تقدر ترفع تغريدة وتغير 'طابع الوقت' يدوياً لرقم صغير جداً وتويتر يصدق إنك غردت في 1992 أو حتى في العصر الحجري

شوفو تاريخ التغريدة 🫪

اليابانيين دايماً سابقين عصرهم بس مو لدرجة يغردون قبل ما ينولد تويتر بـ 14 سنة! الحقيقة إن السالفة 'تلاعب بالوقت' (Unix Timestamp Manipulation) لا أكثر ​اللي صار باختصار: أي مبرمج يعرف إن الوقت في السيرفرات يُحسب بالثواني من تاريخ 1 يناير 1970 باستخدام الـ API تقدر ترفع تغريدة وتغير طابع الوقت يدوياً لرقم صغير جداً والنتيجة؟ تويتر يصدق إنك غردت في 1992 أو حتى في العصر الحجري هذي قوة التلاعب بالبيانات!

تويتر تأسس 2006.. كيف الياباني مغرد في 1992؟!! 💀 اللي فاهم وش صاير هنا يشرح لي

@AlsnanyLtf اتفق مع كلامه هذا هو الصح

والله نصائح ذهبية حقيقة اقرأوها للفائدة .

الأرقام اللي نشوفها اليوم (67 ألف شاغر هندسي) مو مجرد وظائف كودنج عادية هي إعلان استقلال للعقل البشري الذكاء الاصطناعي ما جاء عشان يسرق وظيفتك جاء عشان يطرد الكسالى اللي ينسخون الكود بدون فهم ويفتح الباب للي يعرفون يبنون معمارية أنظمة (System Architecture) معقدة ​الحقيقة المرة ان السوق ما مات السوق تطوّر جينياً إذا كنت لسه تفتخر إنك مجرد كاتب كود فأنت فعلاً في خطر أما إذا كنت مهندس يفهم كيف يطوع الـ LLMs لخدمة المنتج فالعالم كله جالس يركض وراك. ​سؤالي لكل مبرمج: هل أنت جالس تطور منطقك الهندسي؟ ولا لسه تحاول تنافس ChatGPT في سرعة كتابة الـ Functions؟ 💻

انفجار في طلب وظائف الهندسة يكسر حاجز الركود: الشواغر الوظيفية في قطاع التكنولوجيا تسجل أعلى مستوياتها منذ ثلاث سنوات، فهل الذكاء الاصطناعي هو المحرك أم العائق؟ في تحول دراماتيكي يعيد رسم ملامح سوق العمل التقني (Tech Job Market) بعد فترات متتالية من التسريحات الجماعية والترقب الحذر، تشهد الصناعة التكنولوجية حالياً طفرة غير مسبوقة في الطلب على الكفاءات الهندسية. البيانات والمؤشرات الحالية تؤكد أننا نقف أمام أعلى معدل للفرص الوظيفية الهندسية المتاحة منذ أكثر من ثلاث سنوات، مما يمثل إشارة قوية لتعافي البنية التحتية لتطوير البرمجيات والنظم العالمية والتوسع في الاستثمارات التقنية العميقة. لغة الأرقام والمؤشرات الإحصائية: * النطاق العالمي (Global Scale): هناك أكثر من 67,000 شاغر هندسي (Engineering Openings) مفتوح حالياً في مختلف الشركات التقنية حول العالم. هذا الرقم الضخم ليس مجرد إحصائية عابرة، بل هو انعكاس لسباق تسلح تكنولوجي جديد يتطلب بناء وصيانة بنى تحتية رقمية معقدة وقابلة للتوسع (Scalable Digital Infrastructure). * السوق الأمريكي (U.S. Market): تستحوذ الولايات المتحدة وحدها على حصة الأسد بوجود 26,000 وظيفة هندسية شاغرة، مما يؤكد استمرار وادي السيليكون والمراكز التقنية الأمريكية في قيادة قاطرة الابتكار وتطوير المنتجات البرمجية المتقدمة. مفارقة الذكاء الاصطناعي (The AI Paradox): السؤال الجوهري الذي يطرح نفسه بقوة في الأوساط الهندسية اليوم: ما هو الدور الحقيقي الذي يلعبه الذكاء الاصطناعي في هذه المعادلة المعقدة؟ نحن نقف أمام تقاطع طرق تشغيلي وسيناريوهين متداخلين: * هل كان من الممكن أن نشهد أرقاماً وشواغر وظيفية أعلى بكثير لولا دخول أدوات البرمجة التفاعلية ووكلاء الذكاء الاصطناعي (AI Coding Agents) التي أتمتت جزءاً كبيراً من مهام كتابة الأكواد الروتينية؟ * أم أن ثورة الذكاء الاصطناعي التوليدي (Generative AI) هي المحفز الفعلي الذي خلق هذه الوظائف؟ حيث تتطلب هندسة النماذج اللغوية الكبيرة (LLMs)، ودمج واجهات برمجة التطبيقات (API Integrations)، ومعالجة البيانات الضخمة جيوشاً من مهندسي النظم، ومهندسي البيانات، وخبراء البنية التحتية السحابية (Cloud Infrastructure). التسارع التشغيلي المستمر (Continuous Operational Acceleration): بغض النظر عن الإجابة الفلسفية لتأثير الذكاء الاصطناعي، فإن الواقع التشغيلي والبيانات الميدانية منذ بداية العام الحالي تشير إلى مسار واحد لا يقبل الشك: تسارع هائل ومتزايد في وتيرة التوظيف الهندسي. الشركات التقنية تدرك تماماً أن النماذج الذكية وحدها لا يمكنها بناء منتجات متكاملة أو حل مشكلات المعمارية البرمجية المعقدة (Complex Software Architecture) بدون إشراف وتوجيه من مهندسين بشريين متمرسين قادرين على هندسة الحلول وربط الأنظمة ببعضها. هذه الأرقام تمثل إعلاناً صريحاً لكل مطور ومهندس برمجيات: السوق لم ينكمش، بل يتحور ويتطور. المهارات المطلوبة اليوم تتجاوز مجرد كتابة الأكواد، لتشمل الفهم العميق لهيكلية النظم، هندسة العمليات، والقدرة على توجيه ودمج أدوات الذكاء الاصطناعي بكفاءة داخل دورة حياة تطوير البرمجيات (SDLC).

حادثة litellm هي تسونامي في عالم الـ Supply Chain ​المشكلة مو بس في المكتبة المشكلة في شجرة الاعتمادات اللي تخلي الخطر يدخل بيتك من الباب الخلفي وأنت ما تدري الاعتماد المفرط على الطرف الثالث صار لغم موقوت ​سؤالي لكل مبرمج: بعد المصيبة ذي هل بتستمر تسوي install لأي مكتبة ترند ولا بتبدأ تفكر تبني أدواتك الخاصة بمساعدة الـ AI؟ عصر الثقة العمياء انتهى

🚨 اختراق أمني حرج في سلسلة التوريد (Supply Chain) لمكتبة litellm. بمجرد تنفيذ أمر pip install litellm، يتم تسريب بيانات نظامك الحساسة بالكامل، ويشمل ذلك: مفاتيح SSH، بيانات اعتماد السحابة (AWS/GCP/Azure)، إعدادات Kubernetes، كلمات مرور قواعد البيانات، وكافة مفاتيح واجهات برمجة التطبيقات (API Keys). ⚠️ نطاق الضرر: الخطورة تتجاوز المكتبة ذاتها (والتي تُحمل 97 مليون مرة شهرياً) لتمتد إلى أي مشروع برمجي يعتمد عليها كحزمة فرعية (مثل dspy). هذا يعني أن الخطر قد يتسلل إلى أنظمتك بصمت عبر شجرة الاعتمادات (Dependencies). ⏱️ كيف تم الاكتشاف؟ بقيت النسخة الخبيثة متاحة لأقل من ساعة، وتم اكتشافها بفضل خطأ برمجي ارتكبه المهاجم أدى إلى استنزاف الذاكرة (RAM) وانهيار النظام عند أحد المطورين. لولا هذا الخطأ، لاستمر التسريب الأمني لأسابيع دون أن يلاحظه أحد. 💡 الدرس المستفاد: هذه الحادثة تدق ناقوس الخطر حول الاعتماد المفرط على الحزم البرمجية الجاهزة. في المشاريع الحديثة، قد يكون بناء الوظائف المحددة داخلياً (أو بمساعدة الذكاء الاصطناعي) خياراً أكثر أماناً وموثوقية من استيراد مكتبات كاملة تحمل مخاطر أمنية خفية

@mqasem وهذا دليل على ان لا استغناء عن الامن السيبراني مهما تطور الذكاء الاصطناعي ووكلائه🙂

@Rootlap هذي فرصة تكون شركة سيبرانية تعالج هذا الموضوع.

خبر مرعب. الذكاء الاصطناعي المفتوح المصدر أصبح خلية نائمة. أحدها أصبح مخترقا. إذا نزلته واستخدمته يرسل معلوماتك الشخصية وحسابات البيتكوين وغيرها للطرف الذي اخترقه.

@abdelkader_mh @mqasem يوجد أدوات هندسة عكسية لمثل هذه الامور😉

@Rootlap @mqasem Weights عبارة عن مصفوفات ارقام لاتستطيع تنفيذ أي شي فقط تعطيك (output) مخرجات نصية.

@Orahbeeni اسال نفسك وش مقابل كل خدمات Claude الي بنستخدمها؟😉

يبقى السؤال المهم من سيقارع Claude؟

@ebr_dawlah وجه نظر حلوة🙂

@Rootlap ستنهار الخليج اذا لم يكن لهم خطط طوارئ تحاكي هذا السيناريو الحاصل حاليا! واعتقد ستفشل في صنع واحدة بسبب تركيز اهتمامهم في استجلاب اللاعبين! والراقصات(الترفية)! لا يمكن ان يكون النظام الملكي لامركزي👌🏽

🚫 الخليج بدون كهرباء؟ 💡🚫 ​تخيل المشهد: درجة حرارة 45 بدون تكييف، مصاعد الأبراج معلقة، محطات التحلية توقفت (يعني لا ماء)، وجوالك مجرد قطعة حديد لا تشحن ولا تتصل. صدمة 'المركزية' ستحول الرفاهية إلى سجن في أقل من 6 ساعات! ​الحقيقة المرة: في 2026، أمننا القومي ليس فقط في الطائرات، بل في 'اللامركزية'. البيت الذي يملك 'طاقة شمسية' وبئر ماء خاص هو الوحيد الذي سيبقى على قيد الحياة في هذا السيناريو، بينما البقية ينتظرون 'الإذن' من السحابة الرقمية. ​التهديدات الحالية لضرب المحطات ليست مجرد 'بروباغندا'.. هي جرس إنذار لتعرف أن استقلالك الشخصي هو سلاحك الوحيد. ​سؤال يطير النوم: لو انقطع التيار أسبوعاً كاملاً.. هل أنت 'مواطن مستعد' أم 'رهينة للنظام'؟ وما هو أول شيء ستفقده وسيجعلك تنهار؟ 👇🔥

إذا تبي تتعلم كيف تحمي نفسك من هذي الهجمات: تابعني — لأني أشرحها لك بطريقة ما ينساها عقلك 🔐

@G9262159743461 @Meshal_Alnami كل الطرق تؤدي الى روما🙂 ترامب هجد الكل كذا ولا كذا

@Rootlap @Meshal_Alnami لالا فرق عظيم صاخب الطائره بكرامه وطيب خاطر وهذي طرق على خشوم الفرس 😂

دفعوا له الجزية ..يبدو أنهم سلموا النفط الإيراني لشركات أمريكا

@a_albander زي الطائرة الخاصة الي جابوها قطر ولا زي الجزية الي تدفعها دول الخليج كللللله زي بعضه😉

ترمب: الإيرانيون أرسلوا "هدية غالية جدًا" وصلت اليوم وتتعلق بالنفط والغاز، وأضاف أن هذه الخطوة أكدت له أنهم يتحدثون مع "الأشخاص المناسبين".

@Mkmaly_ احساس الام اشتغل😉

جاني احساس غريب .. في شيء مريب جداً يحدث حالياً بالعالم

منظومات الدفاع الجوي انتهى عهدها وهي لا تعمل سواء بوجود الرياح والمواصفات الترابية ام لا مافي فرق يعني واذا عملت فهي تصد 70% من الصواريخ والباقي تصل الى هدفها ورغم كل هذا اذا عملت في خسارة مالية ضخمة هل الافضل استخدام المنظومات وتحمل الخسائر الفادحة ام اغلاق المجال الجوي من الامريكان ؟!

الرياح والعواصف الترابية ليس لها تأثير كبير على منظومات الدفاع الجوي في المنطقة.. وصواريخ "ثاد" و"باتريوت" تتمتع بتقنيات عالية ونظام تصفية إلكتروني لمواجهة التقلبات الجوية