أخبار تقنية: ثغرات لينكس، ثغرات دفاعية، بوت نت الراوترات، وفوضى سلاسل التوريد

التهديدات السيبرانية: في ظل تسارع وتيرة التهديدات الرقمية، تستمر الأخبار الأمنية في الكشف عن ثغرات جديدة وتطورات مقلقة في عالم الأمن السيبراني، مما يتطلب يقظة مستمرة من الأفراد والمؤسسات.

شهدت الأيام الماضية سلسلة من الحوادث الأمنية التي سلطت الضوء على التحديات المتزايدة في حماية الأنظمة الرقمية. تتنوع هذه التهديدات بين اختراق الأدوات البرمجية، وظهور ثغرات قديمة بشكل مفاجئ، وحتى منتجات الأمان نفسها تحتاج إلى حماية.

وقد اضطرت العديد من الشركات إلى العودة والتحقق من الأنظمة القديمة والخوادم التي كان ينبغي تحديثها منذ سنوات، مما يعكس تراكم مشكلات أمنية قديمة. ومع ذلك، تزداد حيل التصيد الاحتيالي تطوراً، حيث يتحول المهاجمون من الرسائل الواضحة إلى حملات موجهة تبدو شرعية.

⚡ أبرز التهديدات الأسبوعية

اختراق GitHub عبر إضافة Nx Console VS Code: أكدت GitHub رسمياً أن اختراق مستودعاتها الداخلية جاء نتيجة لاختراق جهاز أحد الموظفين، والذي تضمن نسخة ملوثة من إضافة Nx Console لـ Microsoft Visual Studio Code (VS Code). يُقال إن الهجوم سمح للجهة الفاعلة، وهي مجموعة يشار إليها باسم TeamPCP، باستخراج حوالي 3,800 مستودع. ذكرت GitHub أنها اتخذت خطوات لاحتواء الحادث وقامت بتدوير الأسرار الهامة، مضيفة أنها تواصل مراقبة الوضع بحثًا عن أي نشاط لاحق.

كشف فريق Nx أن الإضافة nrwl.angular-console تعرضت للاختراق بعد اختراق نظام أحد المطورين في أعقاب الهجوم الأخير على سلسلة توريد TanStack. تشمل الشركات الأخرى التي تأثرت بـ TanStack كلاً من OpenAI و Mistral AI و Grafana Labs. واجهت Grafana Labs أيضاً محاولة ابتزاز، لكن الشركة ذكرت أنها رفضت دفع الأموال للقراصنة الذين هددوا بنشر شفرة مصدر الشركة. تعتبر هذه الحوادث أمثلة على الآثار الممتدة من حملة “Mini Shai-Hulud”، ومع إصدار TeamPCP لرمز “Shai-Hulud” علناً، يمثل ذلك تطوراً كبيراً في تهديدات سلسلة توريد البرمجيات، حيث يوفر للمهاجمين مخططًا جاهزًا لتطوير ديدان مشابهة تستهدف المستودعات مفتوحة المصدر وبيئات التطوير.

🔔 أهم الأخبار

Microsoft أوقفت عميل Fox Tempest: اتخذت Microsoft إجراءات ضد Fox Tempest، وهو جهة فاعلة في مجال التهديدات السيبرانية كانت وراء هجمات برامج الفدية Rhysida وغيرها من الإصابات التي شملت Oyster و Lumma Stealer و Vidar. تعمل هذه المجموعة في المراحل الأولية لسلسلة توريد البرمجيات الخبيثة وبرامج الفدية، حيث توفر أدوات تسمح لجهات فاعلة أخرى بتنفيذ الهجمات. شمل ذلك خدمة توقيع رمز احتيالية سمحت لمجرمي الإنترنت بنشر البرمجيات الخبيثة “من الباب الأمامي” دون اكتشافها. بينما عُرف عن الجهات الخبيثة إعادة بيع شهادات توقيع الرموز منذ عقد على الأقل، إلا أن عملية Fox Tempest تميزت بتقديمها خدمة قابلة للتوسع للابتزاز أو التصيد الاحتيالي أو تسميم محركات البحث أو الإعلانات الملوثة بالبرامج الضارة.

ثغرة في نواة Linux عمرها 9 سنوات تسمح بتنفيذ أوامر الجذر: ظلّت ثغرة أمنية جديدة تم اكتشافها في نواة Linux غير مكتشفة لمدة تسع سنوات. تسمح هذه الثغرة، التي تحمل المعرّف CVE-2026-46333 (بدرجة CVSS: 5.5)، لمستخدم محلي غير مميز بالكشف عن ملفات حساسة وتنفيذ أوامر عشوائية بصلاحيات الجذر على التثبيتات الافتراضية للعديد من التوزيعات الرئيسية مثل Debian و Fedora و Ubuntu. تم إدخال المشكلة في نوفمبر 2016.

Microsoft حذرت من ثغرتين في Defender قيد الاستغلال النشط: كشفت Microsoft أن ثغرة في صلاحيات التصعيد وثغرة في منع الخدمة في Defender تتعرضان حاليًا للاستغلال النشط في البرية. بينما يمكن لـ CVE-2026-41091 أن تسمح لمهاجم بالحصول على صلاحيات SYSTEM، فإن CVE-2026-45498 تتعلق بحالة تعطيل الخدمة. على الرغم من أن Microsoft لم تؤكد رسمياً، فإن وصف الثغرات لـ CVE-2026-41091 و CVE-2026-45498 تتداخل مع ثغرات Defender التي لم يتم اكتشافها من قبل RedSun و UnDefend، والتي تم الكشف عنها الشهر الماضي.

ثغرة جديدة في Drupal Core تخضع للهجوم: تخضع ثغرة أمنية حرجة تؤثر على Drupal Core للاستغلال النشط في غضون أيام من الكشف عنها علنًا. الثغرة المعنية هي CVE-2026-9082 (بدرجة CVSS: 6.5)، وهي ثغرة حقن SQL تؤثر على جميع الإصدارات المدعومة من Drupal Core. أقرت Drupal بأن “محاولات الاستغلال يتم اكتشافها الآن في البرية”. ذكرت شركة Imperva التابعة لـ Thales أنها لاحظت أكثر من 15,000 محاولة هجوم تستهدف ما يقرب من 6,000 موقع فردي عبر 65 دولة.

Claude Mythos AI يكتشف 10 آلاف ثغرة عالية الخطورة في برامج شائعة: كشفت Anthropic أن مشروع Glasswing ساعد في الكشف عن أكثر من 10,000 ثغرة متوسطة أو حرجة عبر بعض البرامج “الأكثر أهمية” في العالم منذ إطلاق المبادرة الأمنية السيبرانية الشهر الماضي. من بين هذه الثغرات، تم تصنيف 6,202 على أنها ثغرات متوسطة أو حرجة تؤثر على أكثر من 1,000 مشروع مفتوح المصدر. أدت التحليلات اللاحقة لهذه المرشحات للثغرات إلى تحديد 1,726 على أنها إيجابية حقيقية. ما يصل إلى 1,094 ثغرة تم تقييمها على أنها متوسطة أو حرجة. إجمالاً، أدت هذه الجهود إلى تصحيح 97 نتيجة في المنبع وإصدار 88 إخطارًا.

Cisco عالجت ثغرة Secure Workload بدرجة CVSS 10.0: أصدرت Cisco تحديثات لمعالجة ثغرة أمنية قصوى تؤثر على Secure Workload، والتي يمكن أن تسمح لمهاجم غير مصادق عليه عن بعد بالوصول إلى بيانات حساسة. تحمل هذه الثغرة، التي تم تتبعها كـ CVE-2026-20223 (بدرجة CVSS: 10.0)، وتنشأ من التحقق والمصادقة غير الكافيين عند الوصول إلى نقاط نهاية REST API. ذكرت Cisco: “يمكن لمهاجم استغلال هذه الثغرة إذا كان قادرًا على إرسال طلب API مصمم خصيصاً لنقطة نهاية متأثرة.” وأضافت: “يمكن أن يسمح الاستغلال الناجح للمهاجم بقراءة معلومات حساسة وإجراء تغييرات على التكوين عبر حدود المستأجرين بصلاحيات مستخدم Site Admin.”

Microsoft أصدرت تخفيفات للثغرة YellowKey: أصدرت Microsoft تخفيفًا لثغرة تجاوز BitLocker المسماة YellowKey بعد الكشف عنها علنًا الأسبوع الماضي. تحمل الثغرة الأمنية التي لم يتم اكتشافها من قبل، والتي تم تتبعها الآن كـ CVE-2026-45585، درجة CVSS تبلغ 6.8. تم وصفها بأنها تجاوز لميزة أمان BitLocker. تؤثر المشكلة على Windows 11 الإصدار 26H1 لأنظمة x64، Windows 11 الإصدار 24H2 لأنظمة x64، Windows 11 الإصدار 25H2 لأنظمة x64، Windows Server 2025، و Windows Server 2025 (تثبيت Server Core). لاحظت Microsoft أن الاستغلال الناجح يمكن أن يسمح لمهاجم لديه وصول فعلي بتجاوز ميزة تشفير الجهاز BitLocker على جهاز التخزين الخاص بالنظام والوصول إلى البيانات المشفرة.

🔥 الثغرات الشائعة (CVEs)

يتم إصدار الثغرات الأمنية أسبوعيًا، والوقت الفاصل بين الإصلاح والاستغلال يتقلص بسرعة. هذه هي الثغرات الأكثر أهمية لهذا الأسبوع: الثغرات عالية الخطورة، أو المستخدمة على نطاق واسع، أو التي يتم استغلالها بالفعل في البرية.

تحقق من القائمة، قم بتصحيح ما لديك، وركز على تلك التي تحمل علامة “عاجل” أولاً — CVE-2026-48172 (إضافة LiteSpeed User-End cPanel)، CVE-2026-34926 (Trend Micro Apex One)، CVE-2026-20223 (Cisco Secure Workload)، CVE-2026-41091، CVE-2026-45498، CVE-2026-45484 (Microsoft Defender)، CVE-2026-46333 (Linux Kernel)، CVE-2026-9082 (Drupal Core)، CVE-2026-45585 (Microsoft Windows BitLocker)، CVE-2026-2743 (SEPPMail)، CVE-2026-7301، CVE-2026-7302، CVE-2026-7304 (SGLang)، CVE-2026-29205 (cPanel)، CVE-2026-8178 (مشغل Amazon Redshift JDBC)، CVE-2026-8053 (MongoDB)، CVE-2026-45829 الملقب بـ ChromaToast (ChromaDB)، CVE-2026-8153 (Universal Robots PolyScope 5)، CVE-2026-3102 (ExifTool)، CVE-2026-9110، CVE-2026-9111، من CVE-2026-8511 إلى CVE-2026-8522 (Google Chrome)، CVE-2026-45434 (Apache OFBiz)، CVE-2026-33000، CVE-2026-34908، CVE-2026-34909، CVE-2026-34910، CVE-2026-34911 (UniFi OS)، CVE-2026-45401 (Open WebUI)، CVE-2026-9256، CVE‑2026‑8711 (F5 NGINX Plus و NGINX Open Source)، CVE-2026-20239 (Splunk Enterprise و Splunk Cloud Platform)، CVE-2026-46376 (FreePBX)، CVE‑2026‑6637 (PostgreSQL)، و CVE-2026-35194 (Apache Flink).

🎥 ندوات عبر الإنترنت حول الأمن السيبراني

• تعرف على كيفية استخدام المهاجمين للذكاء الاصطناعي لتعزيز كفاءة هجمات DDoS (وكيفية إيقافها) → يقوم المهاجمون بشن حملات باستخدام الذكاء الاصطناعي لاستغلال نقاط الضعف في الشبكة، وتوليد نصوص التفاف تلقائيًا، وتجاوز الدفاعات التقليدية بدقة جراحية. تسد هذه الندوة الفجوة بين الاستغلال المدعوم بالذكاء الاصطناعي والمرونة السحابية، وتقدم رؤى مدعومة بالبيانات حول كيفية زيادة المهاجمين لمعدلات نجاح هجمات DDoS. انضم إلينا لتجاوز النظرية، والاستفادة من الذكاء الاصطناعي لاختبار الأمان غير المعطل (CTEM)، ونقل فريقك من التخفيف التفاعلي إلى المرونة الآلية والمستمرة.
• ما وراء الثغرة Zero-Day: البحث عن التهديدات التي لا تحتاج إلى استغلال → لم تعد ثغرات Zero-Day هي المقياس النهائي للخطر السيبراني. اليوم، تتجاوز الجهات الفاعلة المتطورة الدفاعات التقليدية تمامًا من خلال استغلال عيوب الهوية، وتقنيات “العيش من الأرض”، وأتمتة الذكاء الاصطناعي التي لا تعتمد على برمجيات غير مصححة. تنتقل هذه الجلسة إلى ما وراء هوس Zero-Day للكشف عن كيفية قيام المهاجمين بتشغيل تكتيكات ما بعد الاختراق الحديثة — وكيف يمكن لفرق الأمان التحول من التصحيح التفاعلي إلى البحث الاستباقي عن التهديدات السلوكية.

📰 في عالم الأمن السيبراني

• استغلال الثغرات يتجاوز بيانات الاعتماد المخترقة لأول مرة منذ فترة طويلة — احتل استغلال الثغرات الأمنية المرتبة الأولى كمتجه وصول أولي لخرق البيانات، متجاوزاً بيانات الاعتماد المخترقة لأول مرة منذ ما يقرب من عقدين، بحسب فيريزون. بدأ ما يقرب من الثلث (31%) من خروقات البيانات خلال العام الماضي باستغلال الثغرات، بزيادة من 20% في عام 2024. بينما انخفض إساءة استخدام بيانات الاعتماد من 22% إلى 13%. علاوة على ذلك، تم تصحيح 26% فقط من الثغرات الحرجة المدرجة في كتالوج الوكالة الأمريكية لأمن البنية التحتية السيبرانية (CISA) للثغرات المعروفة المستغلة (KEV) بالكامل من قبل المنظمات في عام 2025، بانخفاض من 38% في العام السابق. وقال التقرير: “ارتفع متوسط ​​الوقت اللازم لحل المشكلة بالكامل إلى 43 يومًا، بزيادة تقارب أسبوعين عن 32 يومًا في العام السابق”. وأضاف: “في المتوسط، كان لدى المنظمات 50% ثغرات حرجة أكثر لتصحيحها في مجموعة بيانات التقارير هذا العام مقارنة بالعام السابق”. شكلت برامج الفدية 48% من جميع الخروقات العام الماضي، بزيادة من 44% في عام 2024. ولكن في تطور إيجابي، استمرت مدفوعات الفدية في الانخفاض، حيث انخفضت المدفوعات المتوسطة من 150,000 دولار في عام 2024 إلى ما يقرب من 140,000 دولار.
• المهاجمون يستهدفون النظام التعليمي في الهند — تستغل الجهات الفاعلة في مجال التهديدات بيانات الطلاب داخل النظام التعليمي في الهند، والتي تشمل المؤسسات التعليمية والبائعين الخارجيين والخدمات عبر الإنترنت، لأغراض التصيد الاحتيالي، وانتحال الشخصية، والهندسة الاجتماعية، وعمليات الاحتيال ذات الدوافع المالية. قال CYFIRMA: “يستغل المهاجمون في كثير من الأحيان معلومات الطلاب المكشوفة أو المسيء استخدامها لإنشاء عمليات احتيال مقنعة للغاية تتعلق بالقبول والمنح الدراسية وفرص العمل والمدفوعات ورسوم التسجيل والخدمات الأكاديمية”. وأضاف: “في عدة حالات، استغل الجهات الفاعلة في مجال التهديدات العلامات التجارية التعليمية الموثوقة، والبوابات الاحتيالية، والوصول الداخلي للحصول على بيانات الاعتماد أو المعلومات المالية أو المدفوعات المباشرة. بالإضافة إلى ذلك، أشارت بعض الحالات إلى إساءة استخدام الحسابات المصرفية المرتبطة بالطلاب ضمن عمليات الاحتيال وحسابات الوسطاء الأوسع نطاقًا.”
• RondoDox يضيف ثغرة في راوتر ASUS إلى ترسانته — قام مشغلو شبكة RondoDox الضارة بدمج ثغرة حرجة في راوترات ASUS، CVE-2018-5999 (بدرجة CVSS: 9.8)، في ترسانتهم، مما يمثل أول ملاحظة لاستغلال الثغرة في البرية. تم اكتشاف النشاط لأول مرة في 17 مايو 2026، ضد فخاخ العسل الخاصة بهم. قال كبير مسؤولي التكنولوجيا في VulnCheck، Jacob Baines، في منشور على LinkedIn: “نمط الهجوم: الحمولة التي تعيّن ateCommand_flag إلى 1، مما يمكّن واجهة infosvr من قبول تغييرات التكوين التعسفية.”
• مواقع Microsoft Teams المزيفة توصل برمجيات ValleyRAT — يتم استخدام مواقع توزيع Microsoft Teams المزيفة التي تتم مشاركتها على X لخداع المستخدمين المطمئنين لتنزيل مثبت ملوث كأرشيف ZIP، مما يؤدي في النهاية إلى نشر ValleyRAT، وهي برمجية خبيثة مرتبطة بمجموعة جرائم إلكترونية صينية تسمى Silver Fox. أشارت K7 Labs: “الحمولة المقدمة تستفيد من سلسلة تحميل DLL عبر ملف تنفيذي شرعي (GameBox.exe) تم تطويره بواسطة Tencent، مما يؤدي في النهاية إلى نشر نوع من ValleyRAT”. وأضافت: “تميز حملة البرامج الضارة هذه بسلسلة تنفيذها النظيفة، والتي تجمع بين الهندسة الاجتماعية وتسليم الحمولة المرحلية، وفك التشفير في الذاكرة، وآليات المثابرة الخفية.”
• نشاط ضار يستهدف كيانات ماليزية — تم استخدام بنية تحتية تحت سيطرة مهاجم تم استضافتها على بنية تحتية لمايكروسوفت Azure في منطقة غرب ماليزيا لإجراء حملة اختراق مستهدفة ضد منظمات ماليزية متعددة، حسبما أفاد Oasis Security. وأوضحت الشركة: “تُظهر العملية درجة عالية من التخطيط التشغيلي، حيث طور المهاجم أدوات Python مصممة خصيصًا لكل هدف – تغطي تعداد الشبكة الداخلية، والوصول إلى قاعدة البيانات، وتصدير البيانات الخارجية.” تستضيف البنية التحتية نصوص Python خاصة بالهدف، وأدوات نشر شبكات الويب، وسلسلة استغلال تنفيذ التعليمات البرمجية عن بعد لـ Laravel، وشفرة المصدر لمكونات القيادة والتحكم (C2) المخصصة.
• المدعي العام لتكساس يقاضي Meta بسبب ادعاءات تشفير WhatsApp — قاضى المدعي العام لولاية تكساس شركة Meta بشأن مزاعم بأن تطبيق المراسلة WhatsApp الخاص بها لا يوفر التشفير من طرف إلى طرف (E2EE) الذي تدعي أنه يقدمه منذ فترة طويلة. قال مكتب المدعي العام لولاية تكساس: “تشير التقارير إلى أن موظفي WhatsApp تمكنوا من الوصول إلى اتصالات المستخدمين.” وأضاف: “تشير تقارير وتحقيقات إضافية إلى أنه يمكن سحب محتوى الرسائل وعرضه بعد إرسالها. هذا هو تحريف كامل وشامل لسياسات الخصوصية الخاصة بـ Meta.” ترتكز الدعوى القضائية على تقرير صادر عن بلومبرغ الشهر الماضي حول كيف أن أغلق مكتب الصناعة والأمن التابع لوزارة التجارة الأمريكية بشكل مفاجئ تحقيقًا في مزاعم تفيد بأن Meta يمكنها الوصول إلى رسائل WhatsApp المشفرة. ادعت النتائج الأولية للقسم “لا يوجد حد لنوع رسائل WhatsApp التي يمكن لـ Meta عرضها.” وقد وصفت Meta هذه الادعاءات بأنها “لا أساس لها”.
• FIOD يلقي القبض على اثنين فيما يتعلق بشركة Stark Industries — ألقت دائرة الاستخبارات والتحقيق المالي الهولندية (FIOD) القبض على رجلين وصادرت 800 خادم فيما يتعلق بشركة استضافة ويب سهلت الهجمات السيبرانية وعمليات التدخل وحملات المعلومات المضللة. شمل الأفراد المعتقلون رجلاً يبلغ من العمر 57 عامًا من أمستردام ورجلاً يبلغ من العمر 39 عامًا من لاهاي. على الرغم من أنه لم يتم ذكر اسم الشركة صراحة، إلا أنه يُقدر أنها Stark Industries، التي فرض عليها الاتحاد الأوروبي عقوبات في مايو 2025. بعد فرض العقوبات، تم نقل جزء كبير من البنية التحتية التقنية إلى كيان مقره في هولندا يُعرف باسم THE.Hostingaka WorkTitans. وقال FIOD: “تعمل هذه الشركة الجديدة في الواقع كواجهة للكيانات الخاضعة للعقوبات.” وأضاف: “مدير وحيد (بشكل غير مباشر) لهذه الشركة هو المشتبه به البالغ من العمر 57 عامًا.” ويُقال إن شركة هولندية ثانية لم يُذكر اسمها لعبت دورًا تسهيليًا. وأضاف FIOD: “تضمن هذه الشركة، التي يُشتبه أن الرجل البالغ من العمر 39 عامًا هو مديرها والشريك الوحيد فيها، ربط خوادم الشركة الجديدة السابقة بالإنترنت.”
• UNG0002 يستهدف قطاع التعليم الصيني — أصبح قطاع التعليم الصيني هدفًا لحملة جديدة تجريها UNG0002 كجزء من حملة تصيد احتيالي موجهة تُعرف باسم Operation Dragon Whistle. قال Seqrite Labs: “ما يجعل هذه الحملة فعالة بشكل خاص هو دقة هندستها الاجتماعية”. وأضاف: “لم يستخدم الجهة الفاعلة في مجال التهديدات إغراءً عامًا — فقد حددوا بشكل خاص أن جامعة Changzhou تجري تقييمات لياقة بدنية سنوية إلزامية حيث يؤثر الفشل بشكل مباشر على أهلية التخرج. هذا يخلق بيئة من الإلحاح والامتثال التي تزيد بشكل كبير من احتمالية تفاعل الضحية.” تم العثور على رسائل البريد الإلكتروني لتوزيع أرشيفات ZIP التي تؤدي في النهاية إلى نشر Cobalt Strike Beacon.
• برمجية Void Botnet تستخدم عقود Ethereum الذكية للقيادة والتحكم — تستخدم برمجية Botnet جديدة تسمى Void Botnet عقود Ethereum الذكية للقيادة والتحكم (C2) المقاومة للحجز. إنها برمجية ضارة مكتوبة بلغة Rust يتم الإعلان عنها في منتديات الجريمة الإلكترونية بواسطة مطور يعمل تحت اسم TheVoidStl. قالت Qrator Labs: “بناءً على وثائق البائع ولقطات الشاشة الخاصة باللوحة، تعد Void Botnet مُحمّلاً أصليًا بلغة Rust مع وضعين للقيادة والتحكم في نفس الملف الثنائي.” وأضافت: “الوضع الأول يوجه الأوامر عبر عقود Ethereum الذكية: يكتب المشغل تعليمات إلى عقد، وتقوم الأجهزة المصابة بالتحقق منه على فترات منتظمة، وتلتقط مهام جديدة في غضون ثلاث إلى خمس دقائق. يتصل الوضع الثاني بالأجهزة مباشرة بلوحة الويب الخاصة بالمشغل، مع إكمال المهام في أقل من ثلاثين ثانية. يمكن للمشغل التبديل بينهما في أي وقت عن طريق تحديث العقد.” تعمل شبكة الروبوت عن طريق كتابة الأوامر إلى عقود ذكية، واستطلاعات الروبوتات لنقاط نهاية RPC العامة، وبنية تحتية للقيادة والتحكم يصعب إيقافها.
• Proton تقدم رموز وصول الذكاء الاصطناعي في Proton Pass — أضاف Proton Pass، وهو مدير كلمات مرور آمن مشفر من طرف إلى طرف (E2EE)، مشاركة بيانات الاعتماد عبر رموز وصول الذكاء الاصطناعي، مما يسمح للمستخدمين بمنح وكلاء الذكاء الاصطناعي الوصول إلى العناصر التي سمحوا بها ومراقبة نشاطهم. قالت Proton: “رموز وصول الذكاء الاصطناعي هي أحدث خيار مشاركة آمن لدينا لجلب إدارة كلمات المرور إلى عصر الذكاء الاصطناعي الوكيل.” وأضافت: “في كل مرة يستخدم فيها وكيل الذكاء الاصطناعي رمز وصول، يتم تسجيل ذلك، ويجب تقديم سبب للوصول. لمزيد من الأمان، يمكنك أيضًا تعيين تاريخ انتهاء صلاحية لكل رمز، من ساعة واحدة إلى سنة، وبعد ذلك لا يمكن استخدامه.”
• برمجيات DevilNFC و NFCMultiPay الخبيثة لنظام Android NFC Relay تم رصدها — تم رصد عائلتين جديدتين من برمجيات NFC relay الخبيثة لنظام Android تسمى DevilNFC و NFCMultiPay تستهدفان عملاء البنوك في أوروبا وأمريكا اللاتينية. ذكرت Cleafy: “تم تطوير هاتين المجموعتين من أدوات NFC relay وتشغيلهما خارج النظام البيئي MaaS الناطق باللغة الصينية: DevilNFC له انتماء حصري للغة الإسبانية، بينما يعود بصمة مطور NFCMultiPay إلى اللغة البرتغالية (البرازيلية).” وأضافت: “لم تعد المجموعات المحلية تشتري الوصول إلى المنصات الصينية، بل تقوم ببناء منصاتها الخاصة.” يُقدر أن عائلتي البرامج الضارة ربما تم تطويرهما بمساعدة من الذكاء الاصطناعي التوليدي. تم تصميم كلتا العائلتين من البرامج الضارة لجمع رقم التعريف الشخصي (PIN) الخاص بالبطاقة للضحية. ذكرت الشركة الإيطالية: “DevilNFC يقوم أيضًا بتقييد الضحية داخل الواجهة الخبيثة عبر وضع Kiosk، مما يمنع أي هروب أثناء اكتمال عملية الترحيل.” وأضافت: “تستخدم DevilNFC بنية غير متماثلة حيث يعمل APK واحد بكلتا الدورين في هجوم الترحيل: قارئ سلبي على جهاز الضحية ومحاكي بطاقة على مستوى النظام على جهاز المهاجم الجذر، يتم ذلك عبر إطار خطاف يعترض حركة مرور NFC أسفل طبقة واجهة برمجة تطبيقات Android.” تتداخل DevilNFC مع متغير NGate وثقته ESET الشهر الماضي. يتم توزيع التطبيقات الخبيثة عبر رسائل SMS أو WhatsApp، وتوجيه الضحايا إلى صفحات هبوط مزيفة تنتحل قوائم متجر Google Play.
• TAX#TRIDENT يستخدم إغراءات ضريبة الدخل الهندية — تستخدم حملة جديدة تسمى TAX#TRIDENT إغراءات متعلقة بضريبة الدخل الهندية لاستهداف نقاط نهاية Windows عبر ثلاثة مسارات تسليم. تبدأ الحملة بإغراءات تقييم ضريبي مزيفة ثم تنقل الضحايا إلى ملفات ZIP، أو أدوات تنزيل VBScript، أو نقاط نهاية ويب تشبه PHP تعيد فعليًا محتوى نصي. ذكرت Securonix: “يستخدم الفرع الأول ملف ZIP ومثبت ClientSetup موقع. بمجرد تنفيذه، يقوم المثبت بإنشاء شجرة عملاء مخفية، ويضيف استمرارية الخدمة والسائق، ويبدأ الاتصال بالشبكة. يستخدم الفرع الثاني ‘Assessment_Order.vbs’. يعرض النص صورة وهمية لتقييم ضريبي، ويقوم بتنزيل نفس حمولة ClientSetup، ويكتب ‘YTSysConfig.ini’ جديد، ويشغل الحمولة مخفية. يستخدم الفرع الثالث نقطة نهاية تشبه PHP تعيد VBScript. يقوم هذا النص بتنزيل المزيد من المراحل من S3، ويتنكر كملف VBS كصورة PNG، ويغير سلوك طلب UAC، ويقوم بتثبيت وكيل ManageEngine UEMS / Endpoint Central موقع بسلاسة.”
• CISA تطلق نموذج ترشيح KEV للإبلاغ عن الأخطاء المستغلة — قدمت وكالة الأمن السيبراني والبنية التحتية الوطنية الأمريكية (CISA) نموذج ترشيح عبر الإنترنت يسمح للباحثين والبائعين والشركاء الصناعيين بتقديم الثغرات المستغلة المعروفة (KEVs) مباشرة “لتحديد والتحقق ومشاركة KEVs والمعلومات الاستخباراتية الحاسمة عن التهديدات بسرعة.”
• استغلال ثغرة في راوتر Four-Faith — يستغل المهاجمون CVE-2024-9643 (بدرجة CVSS: 9.8)، وهي ثغرة حرجة في تجاوز المصادقة في راوترات Four-Faith F3x36 الصناعية الخلوية، كجزء من حملة واسعة النطاق منذ منتصف مايو 2026 لتحويل الأجهزة المخترقة إلى شبكات روبوت لحملات إضافية. لاحظت CrowdSec 139 عنوان IP مهاجم عبر 18 مايو 2026. وأضافت: “تم ملاحظة الاستغلال لأول مرة في 20 أبريل وتصاعد إلى درجة إعادة تصنيفه على أنه استغلال جماعي في 12 مايو، وهي إشارة قوية إلى أن المهاجمين يقومون بتشغيل هذه الثغرة على نطاق واسع.”
• النظام البيئي PhaaS الناطق باللغة الصينية مفصل — وجدت تحليل لاثني عشر عرضًا حاليًا لخدمات التصيد الاحتيالي كخدمة (PhaaS) في السوق السوداء الصينية أنها تحولت من حصاد كلمات المرور الثابتة إلى اعتراض وإضفاء الرموز في الوقت الفعلي عبر لوحات الإدارة الحية، مما يسمح للمهاجمين بالتقاط رموز المرور لمرة واحدة (OTPs) وتجاوز المصادقة متعددة العوامل (MFA) على الفور. تستهدف الخدمات، مثل YY Lai Yu، بشكل أساسي الكيانات غير الصينية، مع نشر الإعلانات بانتظام على Telegram بدلاً من قنوات مثل WeChat (Weixin) أو Tencent QQ. جانب حاسم من هذه العمليات هو استغلالهم لتوفير المحفظة الرقمية لتحقيق الدخل من تفاصيل الدفع المسروقة. تم العثور على المهاجمين يستغلون بيانات الاعتماد ورموز OTP الملتقطة لتوفير بطاقة الضحية في محفظة رقمية على جهاز يتحكم فيه المهاجم. بمجرد الترميز، يمكن استخدام البطاقة للمعاملات عالية القيمة، والمدفوعات غير التلامسية، وسحب أجهزة الصراف الآلي. قال Google: “بدلاً من مجرد الوصول إلى الحساب، تركز هذه العمليات على استغلال توفير المحفظة الرقمية لتحويل بيانات الدفع المسروقة إلى أصول مرمزة ضمن الأنظمة البيئية”. وأضاف: “هذا التحول — جنبًا إلى جنب مع استخدام قنوات التسليم المشفرة مثل RCS و iMessage لتجاوز مرشحات أمان شركات الاتصالات التقليدية على رسائل SMS — يمثل تطورًا ناشئًا حيث لا يكون الهدف هو تسجيل الدخول فحسب، بل تأمين تحكم مباشر وغير مصرح به في الحسابات المالية للضحية.”

🔧 أدوات الأمن السيبراني

• Bumblebee → هي أداة أمان مفتوحة المصدر لنظامي macOS و Linux مصممة للعثور على ثغرات سلسلة توريد البرمجيات على أجهزة المطورين. تعمل ك ماسح ضوئي خفيف الوزن للقراءة فقط يقوم بتدقيق ملفات البيانات الوصفية والبيانات التعريفية والتكوينات بدلاً من تنفيذ التعليمات البرمجية. يتيح ذلك التحقق بأمان من حزم اللغة المحلية، وإضافات متصفح الويب، وملحقات محرر النصوص، وتكوينات أدوات الذكاء الاصطناعي بحثًا عن تعرضات أمنية معروفة دون تشغيل نصوص تثبيت يحتمل أن تكون ضارة.
• Claude-BugHunter → هو إضافة مفتوحة المصدر تقوم بتكوين أداة سطر الأوامر Claude Code من Anthropic إلى مساعد أمن متخصص. تزود الذكاء الاصطناعي بأنماط ثغرات مُعدة مسبقًا، وتقنيات هجوم، وقوالب إعداد تقارير، مما يؤتمت عملية العثور على العيوب الأمنية وتوثيقها أثناء الاختبارات المصرح بها.

إخلاء مسؤولية: هذا مخصص للأغراض البحثية والتعليمية فقط. لم يخضع لتدقيق أمني رسمي، لذا لا تقم بتثبيته في بيئة الإنتاج بشكل أعمى. اقرأ الشفرة، اختبره في بيئة معزولة أولاً، وتأكد من أن كل ما تقوم به يظل ضمن نطاق القانون.

الخلاصة

قم بتصحيح المشكلات السهلة قبل أن تصبح مشكلة أكبر في الأسبوع المقبل. الثغرات القديمة التي تجاهلها الجميع؟ لم يتجاهلها المهاجمون. هم لا يفعلون ذلك أبدًا.

في الوقت الحالي، يبدو الإنترنت وكأنه مجمع بشريط لاصق وحظ. كل أسبوع، هناك مشكلة جديدة، عملية احتيال جديدة، أو جهاز قديم يتم استغلاله كجزء من شبكة روبوت. نراكم الأسبوع القادم.