العلامات الشائعة:
الافتراضية أمان DNS التحقق الرسمي تحليل قابلية الوصول أخطاء المترجم تضارب الماكرو امتدادات الويب إطار عمل تطوير كومودور 64 بياسيك 2.0 جميع العلامات

حزمة PyPI الخبيثة Automslc: عملية قرصنة موسيقى Deezer

2025-03-02
حزمة PyPI الخبيثة Automslc: عملية قرصنة موسيقى Deezer

اكتشف الباحثون حزمة PyPI خبيثة تسمى automslc، والتي تُمكّن من تنزيل الموسيقى غير المصرح بها ومنسّقة من Deezer. تم تنزيلها أكثر من 100000 مرة، وهي تستخدم بيانات اعتماد مشفرة ومسجّل تحكم وقيادة (C2) (54.39.49[.]17:8031) لتجاوز قيود واجهة برمجة التطبيقات (API) الخاصة بـ Deezer وتنزيل مسارات كاملة، مما ينتهك شروط خدمة Deezer. يقوم الجهة المهاجمة، باستخدام حسابات متعددة وحساب GitHub، بتنظيم عملية قرصنة موزعة، مما يبرز أهمية أمن سلسلة توريد البرامج وضرورة حماية المطورين والمنظمات من هذه الهجمات.

اقرأ المزيد
(socket.dev)
التكنولوجيا إساءة استخدام واجهة برمجة التطبيقات

فرق أمان cURL وGo ترفض نظام تسجيل نقاط CVSS المعيب

2025-01-27
فرق أمان cURL وGo ترفض نظام تسجيل نقاط CVSS المعيب

أعلنت فرق أمان cURL وGo علنًا عن رفضها لنظام تسجيل نقاط الضعف الشائع (CVSS) باعتباره نظامًا معيبًا لتقييم الثغرات الأمنية، ودعت إلى اتباع نهج أكثر دقة واعتمادًا على السياق. غالبًا ما يؤدي النهج الموحد لـ CVSS إلى نتائج مضللة، خاصةً بالنسبة للمشاريع مثل cURL التي تضم مليارات التثبيتات. سلط دانيال ستينبرغ، مبتكر cURL، الضوء على فشل CVSS في مراعاة السياقات المحددة، مما أدى إلى نتائج مبالغ فيها أو غير دقيقة. وأعرب فريق أمان Go عن آراء مماثلة، واختار تقييمات شدة تعتمد على السياق بدلاً من ذلك. هذا يبرز ازدياد عدم الرضا عن CVSS ويدفع نحو البحث عن بدائل أفضل. ومع ذلك، يواجه هذا النهج المعتمد على السياق تحديات، حيث يكافح القائمون على الصيانة لتقييم جميع سيناريوهات الاستخدام بدقة. ويُعقّد الصراع الثقافي بين الباحثين في مجال الأمن وقائمي الصيانة مفتوحة المصدر المشكلة أكثر، حيث يسعى الباحثون إلى الحصول على التقدير، بينما يركز القائمون على الصيانة على التأثير العملي. تُفاقم مشكلة تراكم الأعمال المتأخرة في NVD الوضع.

اقرأ المزيد
(socket.dev)
التطوير أمن المصدر المفتوح تقييم الثغرات