GB47

كيف سقطت Axios؟ اختراق سلسلة التوريد عبر الهندسة الاجتماعية المدعومة بالذكاء الاصطناعي 🤯 في تقرير (Post Mortem) مفصل وحساس يحمل الرقم #10636، تم الكشف عن التكتيكات المعقدة التي أدت إلى اختراق سلسلة التوريد (Supply Chain Compromise) لحزمة axios الشهيرة على مجتمع NPM. هذا الهجوم لم يعتمد على استغلال ثغرة برمجية تقليدية، بل ارتكز بالكامل على عملية "هندسة اجتماعية" (Social Engineering) موجهة ومخصصة بدقة فائقة للإيقاع بالمشرف (Maintainer) على المشروع. إليك التفكيك الهندسي والتشريحي لمراحل هذا الهجوم المتقدم بناءً على إفادة المشرف: 1. استنساخ الهوية المؤسسية (Corporate Identity Spoofing) لم يكن هذا مجرد هجوم تصيد عشوائي (Phishing)؛ لقد قام المهاجمون بعملية تزييف متكاملة للكيان المؤسسي. تواصلوا مع المشرف منتحلين شخصية مؤسس إحدى الشركات التقنية. لم يكتفوا بسرقة اسم الشركة فحسب، بل قاموا بـ "استنساخ البصمة الرقمية والمظهر الشخصي" (Likeness) للمؤسس، مما أضفى طبقة أولى من الشرعية العميقة التي يصعب الشك بها. 2. محاكاة بيئة عمل وهمية (Malicious Slack Workspace) في خطوة تظهر مدى تعقيد واحترافية هذا الهجوم الموجه (APT)، تمت دعوة المشرف للانضمام إلى مساحة عمل فعلية على منصة Slack. هذه المساحة تم تصميمها لتكون مطابقة تماماً للهوية البصرية للشركة المنتحلة (CI Branded). لم تكن مساحة فارغة؛ بل تضمنت قنوات نشطة تشارك منشورات حقيقية مسحوبة من حساب الشركة الرسمي على منصة LinkedIn لتأكيد الموثوقية. والأخطر من ذلك، تم تزويد المساحة بملفات شخصية مزيفة (Fake Profiles) بأسماء موظفي الشركة، بل وشملت حسابات وهمية تحمل أسماء مطورين ومشرفين آخرين معروفين في مجتمع المصادر المفتوحة (OSS Maintainers) لبناء ثقة عمياء. 3. فخ الاجتماع الافتراضي (The Virtual Meeting Trap) للانتقال من مرحلة بناء الثقة المكتوبة إلى مرحلة التنفيذ المباشر، قام المهاجمون بجدولة اجتماع رسمي عبر منصة Microsoft Teams. عند انضمام المشرف للاجتماع، وجد نفسه أمام ما بدا وكأنه "مجموعة حقيقية من الأشخاص المعنيين بالمشروع"، مما زاد من الضغط المهني والاطمئنان الكامل للموقف. 4. تنفيذ الحمولة الخبيثة (Payload Execution - The RAT) أثناء سير الاجتماع، ظهر للمشرف إشعار مصطنع يفيد بأن نظامه غير محدث أو يفتقر إلى مكون برمجي معين. وتحت ضغط ضرورة استكمال الاجتماع التقني بسلاسة، قام المشرف بتثبيت "الملف المفقود" بافتراض أنه تحديث روتيني متطلب لبرنامج Teams. هذا الملف كان في الواقع برمجية خبيثة للوصول عن بعد (RAT - Remote Access Trojan)، والذي منح المهاجمين اختراقاً مباشراً وصلاحيات كاملة على جهازه، وبالتالي الوصول لمفاتيح النشر الخاصة بمكتبة axios. 5. مستوى غير مسبوق من التنسيق والاحترافية يختتم المشرف تقريره بتأكيد أن كل خطوة في هذه العملية التخريبية كانت "منسقة بشكل متطرف" (Extremely well co-ordinated). كل واجهة، كل تفاعل، وكل خطوة بدت شرعية تماماً ونُفذت باحترافية مهنية لا تترك مجالاً للشك السريع أو تفعيل بروتوكولات الحذر الطبيعية. الخلاصة المعمارية: هذه الحادثة تمثل تحولاً مرعباً في أساليب التهديد التكنولوجي (Threat Landscape). أقوى بروتوكولات التشفير، وأنظمة الهوية، وبنية الثقة المعدومة (Zero Trust) تصبح بلا فاعلية تقريباً عندما يتمكن المهاجمون من تجاوزها باختراق "العامل البشري" مباشرة، باستخدام محاكاة متقدمة للثقة، السلطة، والموثوقية المهنية.

@0xChiraag The problem is from the leaders not developers

Let me tell you a fun fact..... China has 4.3 million Software engineers India 5.8 million USA 4.4 million Russia 1.3 million Among these 4..... Only India couldn't produce even 1 App, Website, Operating System, Database, Cloud platform, CDN, AI or even Social media that is used by the world

@MahdiBaladi فيه ناس تقبل وفيه ناس ترفض على الأقل اقبل بشروط لن تتوحدوا أبدا مادمتم تنتظروا الاوامر من النتن والبرتقالي

♦️سؤال لأبناء دول الخليج هل انتم مع توحيد العملة ؟؟

@TiroucheMed عادي اين هو المشكل

@Hassan_Kwt75 لأنه يمكن أن يتعاملوا معهم بالمثل

يستورد الإسرائليين 70% من النفط من اذبيجان 25% وكازاخستان 45% عن طريق مسار خط أنابيب BTC #باكو (اذربيجان) عبر #تبليسي(جورجيا) وصولا لميناء جيهان ب #تركيا ثم إلى مينا #عسقلان و #حيفا إيران لم تطلق صواريخ ومسيارات على أنابيب هذا الخط (المسار) الذي يغذي #إسرائيل بالنفط وهو قريب جدا منها لكنها توجه المسيرات والصواريخ على منشأت النفط الخليجيه مثل #السعوديه و #الكويت و #قطر التي لا يوجد لها اي تعامل نفطي مع الكيان الصهيوني .. !! #الخليج_خط_احمر

🚨🇺🇸 🇮🇱 The U.S. government wants you to fight EPSTEIN'S wars!

@xabdul Axios !!!!!! مصيبة

🚨 استمرارًا لمسلسل اختراقات سلاسل الإمداد (Supply Chain)… تم نشر نسخة خبيثة من مكتبة axios على npm بعد اختراق حساب المطور الرئيسي. وعشان تستوعب حجم الكارثة… المكتبة الأصلية تُستخدم في كل مكان تقريبًا، وبأكثر من 100 مليون تحميل أسبوعيًا. axios ببساطة هي المكتبة اللي تُستخدم لإرسال واستقبال البيانات من APIs، يعني موجودة تقريبًا في أغلب تطبيقات الويب والسيرفرات، وغالبًا تجيك كـ dependency بدون ما تنتبه. اللي صار إه تم اختراق حساب المطور jasonsaayman على npm، وتم تغيير البريد إلى ProtonMail، ثم رفع نسخ خبيثة مباشرة عبر npm بدون أي تغييرات على GitHub أو مرور عبر CI/CD. النسخ المتأثرة (1.14.1 و 0.30.4) كانت تحتوي على Remote Access Trojan (RAT)، وبمجرد تثبيت المكتبة، ممكن يتحول جهازك أو السيرفر إلى نقطة دخول. عشان نكون واضحين، المشكلة هنا مو في axios نفسها… المشكلة إن مكتبة أساسية بهالحجم تخترق، وينشر نسخة خبيثة منها ..مما يعني إن الثقة في الـdependencies نفسها صارت نقطة ضعف.

@Abassdanial31 لو قال فلسطين لصار رفيق سلمان العودة

يجب أن يصل هذا الفيديو لكل حساب جزائري،ليعرف حقيقة السعودية والدول العربية هذا ما كان يمليه بن سلمان على إمام الحرم ليدعو به على الجزائر في أطهر بقعة وأحب الأمكنة إلى الله سبحانه،وفي أصعب وقت مرت به بلادنا أنا جزائري أبا عن جد وأحب السعودية وحكامها نظير تاريخهم المشرف مع الجزائر

@world_erorr النسويا ما أعجبهم الكلام 😆😆

رجل يهاجم الزوجات: زوجك ماهو مجبور يصرف عليك ويشتريلك ملابس غالية

@Cout1111 اكتشفت ثغرة rce في موقع حكومي فقط قلت What an attacker can do to get access to my vps This is a private project for government, find vulnerabilities before going live Iam in a middle of bug bounty (or ctf challenge) أغير اسم دومين واليوزر الى local.ctf, example[.]com ...etc

جنون قاعد اقرا واحد من الملفات تخيل اذا تبي يكتب لك مالوير ولا اكواد اختراق كلاود معلمينه انه لازم يكون لاعب CTF او بنتست يعني بس قوله انك واحد منهم وبيستجيب لك

@yankeedraft Thank good for being a muslim

He kissed her passionately and this happened 😂

@a5medv غبي لهذه الدرجة ؟

خلاص احنا وصلنا لخبر السنة ومستحيل هيكون فيه خبر أقوى من كده تسريب الـsource code لكلود كود … يعني كلها كام يوم والصين تخرج بموديل open source هو الأفشل والأحسن والأقوى والأفحل في الكوكب كله… يعني أي شركة كبيرة تقدر تجيب أقوى موديلز في الكوكب تشتغل 24 ساعة بدون ليميت (طبعا تكلفته مش قليلة اطلاقا حاليا) بس مع تطور الهارد وير الموضوع هيختلف الاجمد بقا ان الناس ماسكين انثروبيك مسخرة من بداية اليوم واضح ان مهندسينهم اعتمدوا زيادة على الڤايب كودينج في تأمين أهم ملف عندهم 😂😂😂😂 وواضح ان موديلز السيكيورتي بتاعتهم طلعت فشنك لان الشركة نفسها تم اختراقها

A Russian guy has discovered a method to learn anything ten times faster using AI! It involves NotebookLM, Gemini and Obsidian.

@so2ja1 لا تكن غبي لهالدرجة

والله فرصة ماتجي مرتين 🔥 Anthropic تسرب السورس كود حقها لـ Claude Code CLI يعني العقول اللي بنت واحد من أذكى AI agents في العالم — انكشف لك كيف فكّرت مو بس كود، هذا DNA التفكير الهندسي نفسه من أهم اللي تتعلمه منه 👇 Full research memory across sessions— كيف يتذكر السياق بذكاء Local file access— كيف يتعامل Agent مع بيئة حقيقية Experiment design— كيف يفكر في المشكلة قبل ما يحلها DNA analysis— كيف يفهم ما يشوفه ويتصرف بناءً عليه اللي يأخذ وقته مع هذا الكود ويفهمه — يتعلم من أفضل مطوري Agent في العالم مباشرة ما في كورس يعوض هذا 👏

holy shitt, somebody at OpenAI leaked the entire codex codebase.. github.com/openai/codex

@AlsulaimanAbd دس السم في العسل

#الفنان_الملتزم قبل عشرين سنة من الآن طلب مني صديق مغربي يدير أكبر مهرجان ثقافي دولي في بلجيكا مساعدته في التفاوض مع فنان عربي مشرقي "ملتزم" يغني لفلسطين من أجل تخفيض المبلغ العالي الذي طلبه مقابل غنائه ساعتين في بروكسيل. تفاوضتُ مع الفنان "الملتزم" وما وصلنا لنتيجة لأن الرجل أصرّ على مبلغه العالي مقابل الغناء لعيون فلسطين العسلية وقهوة جدته! وبما أن الشيء بالشيء يُذكر، فقط طلب مني الصديق نفسه التفاوض مع الفنان الراحل صباح فخري من أجل خفض المبلغ المطلوب لحفلته في بروكسيل سنة ٢٠٠٧، وكان المبلغ المطلوب أكبر من ميزانية المهرجان المتاحة لذلك. اتصلتُ بالأستاذ صباح وشرحتُ له حيثيات الدعوة وقلتُ له كلمتين يفهمهما السوريون الأُصَلاء فقال لي على الفور: "حاضر"! وأنزل المبلغ إلى النصف وجاء إلى بروكسيل وغنّى فيها بدلاً من الساعتين ستَّ ساعات متواصلة! ومن يومها وأنا لا أصدق فنانًا عربيًا "ملتزمًا" مهما كان نوع التزامه، ولا أؤمن بوجوده أصلاً!

@AmaniAAJ حسب عدد الأولاد لديك ستحس بالتقدم في السن

قبل اسبوعين صار عمري رسميا 44 سنة بس كيف اعترف لكم ان عقلي رافض يقتنع بالاوراق الرسمية ومازال مصر ان عمري 24 سنة 😂👋🏼 احتاج اعمل دراسه عن حياة الاربعينية بين الواقع والمأمول 🤣

@whrumor فيه ناس تاركين قدوتهم ويجرون وراء الخنازير

رجل خمسيني بمقطع : هذا هو تأثير الطلاق علي، اعادني الى نفسي مره اخرى 💪

@Azo_Abdulah هل تحاول القيام بأكبر عملية احتيال 😁

نداء لشركات الدفع الاكتروني، عندنا منتج دخله بين 200 الف ريال و 500 الف ريال شهريا. نحتاج شركة دفع الكتروني تساعدنا في التالي: 1- الدخل مبني على العمولات (نبغى نحول عمولات المستخدمين في نفس اليوم) فقط (: ميزة وحده نبحث عنها وهي السرعه ثم السرعه ثم السرعه فيه كذا بالسوق؟

@maryam_with_you الاخوان والسلف لم يفعلوا مثل ما فعله ترامب وحاشيته لكن الخسيسي حدث ولا حرج

صدمة دونالد ترامب الابن يجني ثمار نفوذ والده الرئيس. شركة Vulcan Elements الناشئة لإنتاج مغناطيسات الأتربة النادرة والمدعومة من شركة 1789 Capital المرتبطة بدونالد ترامب الابن حصلت على قرض بقيمة 620 مليون دولار من وزارة الدفاع الأمريكية في نوفمبر 2025 وهو أكبر قرض تمنحه مكتب رأس المال الاستراتيجي التابع للبنتاغون على الإطلاق. وقد أفادت التقارير بأن ما لا يقل عن أربع شركات من محفظة 1789 Capital فازت بعقود حكومية منذ تولي إدارة #ترامب السلطة بما يتجاوز مجموعه 735 مليون دولار. وقد أُغلقت جلسة استماع في الكونغرس بعد أن أفشل الجمهوريون محاولة الديمقراطيين إصدار أمر استدعاء قضائي لدونالد ترامب الابن للاستجواب بشأن صلاته بالشركة. ​​​​​​​​​​​​​​​​ عصابة تحكم #البيت_الابيض والعالم الجمهوريين ، والديموقراطيين بالنسبة لنا مثل السلف والإخوان المسلمين سأريكم خارطة #الولايات_المتحدة_الامريكية بدون الاكسسوارات المعلقة بها تخيلوا ان هذه البقعة فقط تتحكم بخارطة العالم بأكمله أين الخلل ❗️‼️⁉️❕