كشف باحثون أمنيون عن اختراق طويل الأمد تعرضت له أداة تحرير الأكواد مفتوحة المصدر الشهيرة Notepad++، حيث نجحت مجموعة تهديدات صينية بالتسلل إلى أنظمتها الداخلية للتجسس على مجموعة محددة من المستخدمين. هذا الاختراق، الذي يعود لمجموعة Lotus Blossom النشطة منذ سنوات، يسلط الضوء على التحديات المستمرة في تأمين البرمجيات الحيوية.
وأكد القائمون على Notepad++، بالتعاون مع خبراء مستقلين، أن مجموعة تتهمها بتلقي دعم حكومي من الصين استغلت خادم الأداة لمدة ستة أشهر بدأت في يونيو 2025. وقد تم إصدار تحديث أمني لمعالجة نقاط ضعف في المصادقة سمحت للمهاجمين بالتحكم في آلية تحديث البرنامج وحركة مرور المستخدمين.
اختراق Lotus Blossom يستهدف Notepad++
ووفقاً لتقرير شركة Rapid7 المتخصصة في الأمن السيبراني، نجحت مجموعة Lotus Blossom، المعروفة أيضاً بأسماء مثل Billbug و Thrip و Raspberry Typhoon، في تحقيق وصول متكرر إلى أنظمة Notepad++. وقد استخدمت المجموعة أدوات خبيثة مختلفة، بما في ذلك برامج تجسس مخصصة، لمراقبة أنشطة بعض المستخدمين بهدف جمع المعلومات الاستخباراتية.
وأوضح كريستيان بيك، مدير أول في Rapid7، أنه لا توجد أدلة على استغلال واسع النطاق للبيانات. وأشار إلى أن الأدوات المستخدمة تتوافق مع مرحلة ما بعد الاختراق، والتي تشمل استطلاع الأنظمة، وترسيخ وجود المجموعة، والوصول الانتقائي للمعلومات، بدلاً من استهداف جماعي لجمع كميات كبيرة من البيانات.
طبيعة الهجمات وأهدافها
ولم يسفر هذا الاختراق، الذي تميز بالمرونة والتخفي، عن المساس بجميع مستخدمي Notepad++، بل اقتصر تأثيره على عدد محدود من البيئات المستهدفة. وقد شملت الأنشطة التي لوحظت بعد الاختراق إجراء مسح للأنظمة، واستخدام آليات لضمان الاستمرارية، وتنفيذ أوامر عن بعد، وهو ما يدعم فرضية التجسس طويل الأمد بدلاً من تعطيل الأنظمة أو تحقيق مكاسب مالية سريعة.
وبحسب المعلومات، فقد أُجبر المهاجمون على مغادرة خادم Notepad++ في الثاني من سبتمبر، لكنهم احتفظوا ببيانات اعتماد شرعية لخدمات داخلية حتى الثاني من ديسمبر، مما أتاح لهم إعادة توجيه تحديثات البرنامج إلى خوادم خبيثة. ولم يذكر مطور الأداة متى بدأ الوعي بالوصول غير المصرح به، لكن تم نقل الموقع إلى مزود استضافة جديد بتدابير أمنية أقوى.
تداعيات امنية وتوصيات
أكد بيك أن الوصول غير المصرح به لمجموعة Lotus Blossom يبدو أنه قد توقف، وأن البنية التحتية المعروفة المرتبطة بهذه الحملة لم تعد نشطة. وقد بدأت تقارير عن حوادث مرتبطة بـ Notepad++ في الظهور بين الباحثين الأمنيين منذ نوفمبر.
وعلى الرغم من أن التحسينات التي أُدخلت على نظام Notepad++ قد أوقفت النشاط الخبيث، ينصح الخبراء المستخدمين الذين لا يزالون يستخدمون إصدارات قديمة بتحديث برامجهم كإجراء احترازي. وأضاف بيك: “لا نرى حالياً استغلالاً نشطاً متعلقاً بهذه الحملة”.
يُشار إلى أن Notepad++، الذي تم إصداره لأول مرة في عام 2003، يستخدم على نطاق واسع من قبل المطورين ومديري تكنولوجيا المعلومات والمهندسين والمحللين، بما في ذلك العاملين في قطاعات حكومية واتصالات وبنية تحتية حيوية وإعلام. وهذا الانتشار الواسع يجعل الأداة هدفاً جذاباً للمجموعات التي تسعى لجمع المعلومات الاستخباراتية الاستراتيجية.