ملخص أسبوعي: احتيال إلكتروني بالذكاء الاصطناعي، أداة تجسس أندرويد، ثغرة لينكس، هجمات على جيت هاب والمزيد

شهدت ساحة الأمن السيبراني هذا الأسبوع تسارعاً ملحوظاً في وتيرة التهديدات، حيث استغل المهاجمون الثغرات بسرعة فائقة، محولين أدوات التحكم إلى مفاتيح للتدمير، وأنظمة التشغيل إلى أبواب مفتوحة، وخطوط أنابيب البرمجيات مفتوحة المصدر إلى قنوات توزيع صامتة. لم يعد الأمر يقتصر على اختراق الأنظمة، بل تعدى ذلك إلى احتلالها وتسلل المهاجمين إلى جلسات الخدمات السحابية، وإدخال تعليمات برمجية عبر التزامات موثوقة، وتوسيع نطاق العمليات كأنها شركات شرعية، ولكن بمنتج فوضوي. هذا التحول يعكس صعود الاحترافية في عالم الجريمة السيبرانية، مما يستدعي استجابة سريعة وفعالة.

هجوم واسع على ثغرة cPanel

تتعرض ثغرة أمنية حرجة في منصتي cPanel و WebHost Manager (WHM) حالياً للاستغلال النشط في البرية. تحمل هذه الثغرة الرمز CVE-2026-41940، وتسمح بتجاوز المصادقة، مما يمكن المهاجمين عن بعد من الحصول على تحكم موسع في لوحة التحكم. في بعض الحالات، أدت الهجمات إلى مسح كامل لمواقع الويب والنسخ الاحتياطي، كما تم نشر سلالات من برامج الفدية مثل Sorry ومتغيرات من بوت نت Mirai.

أبرز الأخبار في مجال الأمن السيبراني

استغلال المكالمات الصوتية لسرقة البيانات والابتزاز

تعمل مجموعتا جرائم سيبرانية، وهما Cordial Spider و Snarky Spider، على شن هجمات سريعة وعالية التأثير، تتمركز بشكل كبير داخل بيئات الخدمات السحابية (SaaS) مع ترك آثار قليلة. تعتمد هاتان المجموعتان على المكالمات الصوتية والرسائل النصية ورسائل البريد الإلكتروني لتوجيه الموظفين المستهدفين إلى صفحات تصيد احتيالي تبدو وكأنها صفحات تسجيل الدخول الموحد (SSO) الخاصة بشركاتهم، وذلك لسرقة بيانات الاعتماد التي تمنح المهاجمين نقاط دخول للأنظمة. كما يستغل المهاجمون هذه الثغرات لإزالة وإنشاء أجهزة المصادقة متعددة العوامل تحت سيطرتهم، وحذف رسائل البريد الإلكتروني التي قد تنبه المؤسسات للأنشطة الضارة.

ثغرة Copy Fail في Linux تثير القلق

أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) الثغرة CVE-2026-31431، التي تؤثر على توزيعات Linux المختلفة، إلى كتالوج الثغرات المستغلة المعروفة، مشيرة إلى أدلة على استغلالها النشط. تكمن هذه الثغرة في خلل منطقي ضمن قالب التشفير الخاص بالمصادقة في نواة Linux، مما يسمح للمهاجم بتصعيد الامتيازات بسهولة تامة باستخدام برمجية مكتوبة بلغة Python. أدت سلسلة من التحديثات التي هدفت إلى تسريع تشفير البيانات إلى ظهور هذه الثغرة التي تؤثر على معظم توزيعات Linux الرئيسية منذ عام 2017. تعقيد المشكلة يكمن في أن “Copy Fail” تعمل بنسبة 100%، على عكس معظم ثغرات تصعيد الامتيازات المحلية التي تكون احتمالية. وما يزيد الأمر خطورة هو أنها لا تترك أي آثار على القرص، حيث يتم الاستغلال في الذاكرة، ويمكنها الهروب من الحاويات في مجموعات Kubernetes.

حملة هجمات سلسلة التوريد لـ TeamPCP مستمرة

تواصل مجموعة TeamPCP حملتها الواسعة لهجمات سلسلة التوريد، حيث قامت باختراق العديد من الحزم عبر أنظمة npm و PyPI و Packagist فيما أسمته هجوم “Mini Shai Hulud”. تجدر الإشارة إلى أن TeamPCP قد اخترقت في الأشهر الأخيرة حزم العديد من مشاريع البرمجيات مفتوحة المصدر، بما في ذلك Trivy، أداة فحص الأمان التي تحتفظ بها Aqua Security، و KICS، أداة التحليل الثابت للكود التي طورتها Checkmarx. يقول أميت جينكين، باحث التهديدات في Upwind، إن هذه الهجمات الأخيرة تمثل تحولاً، حيث أصبحت أكثر تكراراً وأصعب في الكشف، وذلك بتسليح خطوط أنابيب CI/CD الشرعية لدفع الإصدارات المسمومة بهويات حقيقية، مما يسمح للنشاط بالاندماج في سير عمل التطوير العادي. لتجنب ذلك، يُنصح بالتحقق من الإصدارات المتأثرة وتدوير أي بيانات اعتماد مرتبطة بخطوط الأنابيب التي ربما تكون قد نفذتها، مع تقليل نطاق بيانات اعتماد خطوط الأنابيب وإضافة رؤية لما يحدث بالفعل أثناء عمليات التثبيت والبناء.

باب خلفي جديد في Python يتيح سرقة بيانات شاملة

يوفر إطار عمل للباب الخلفي خفي جديد قائم على Python، والذي تم تعريفه باسم DEEP#DOOR، للمهاجمين قدرات تنفيذ أوامر عن بعد مستمرة وقدرات مراقبة على أجهزة Windows. بمجرد تنشيطه، يتيح الباب الخلفي تنفيذ أوامر shell، ومعالجة الملفات، واستطلاع النظام والشبكة، وعمليات المراقبة مثل تسجيل ضربات المفاتيح، ومراقبة الحافظة، والتقاط لقطات الشاشة، والوصول إلى الميكروفون وكاميرا الويب، وحصاد بيانات الاعتماد ومفاتيح SSH. بالإضافة إلى ذلك، يمكن للبرمجية الخبيثة الانتقال من جمع البيانات إلى التعطيل والتلاعب بالنظام، حيث يمكنها الكتابة فوق سجل الإقلاع الرئيسي (MBR)، وإجبار تعطل النظام، واستنزاف موارد النظام عن طريق إنشاء العديد من العمليات، وتعطيل خدمات Microsoft Defender.

ثغرة في GitHub تؤدي إلى تنفيذ تعليمات برمجية عن بعد

كشف باحثون في مجال الأمن السيبراني من Wiz عن تفاصيل ثغرة أمنية حرجة تؤثر على GitHub.com و GitHub Enterprise Server (CVE-2026-3854، درجة CVSS: 8.7)، والتي يمكن أن تسمح لمستخدم مصادق عليه بتنفيذ تعليمات برمجية عن بعد بأمر “git push” واحد. كانت الثغرة خطيرة لدرجة أن Microsoft طرحت تصحيحاً خلال ستة أيام من الكشف المسؤول. على GitHub.com، سمحت بتنفيذ التعليمات البرمجية عن بعد على عقد التخزين المشتركة، وعلى GitHub Enterprise Server، منحت سيطرة كاملة على الخادم، مما أتاح الوصول غير المصرح به إلى جميع المستودعات المستضافة والأسرار الداخلية. وصرح متحدث باسم Wiz لـ The Hacker News بأن “استغلال هذه الثغرة يمكن أن يكشف قواعد الكود الخاصة بمعظم أكبر الشركات في العالم، مما يجعلها واحدة من أخطر ثغرات SaaS على الإطلاق”.

تشفير VECT 2.0 المعيب يجعل استعادة البيانات مستحيلة

تم اكتشاف أن برنامج الفدية VECT 2.0 يقوم بمسح الملفات الكبيرة بدلاً من تشفيرها ببساطة، مما يجعل الاستعادة مستحيلة، حتى بالنسبة للمهاجمين أنفسهم. VECT 2.0 هو برنامج خدمة برامج الفدية (RaaS) ظهر لأول مرة في ديسمبر 2025. احتلت المجموعة العناوين بسرعة بعد أن أعلنت على BreachForums أنها تعقد شراكة مع TeamPCP، مجموعة التهديدات المسؤولة عن العديد من هجمات سلسلة التوريد. كما أعلنت VECT عن شراكة مع BreachForums نفسها، واعدة بأن كل مستخدم مسجل في المنتدى سيصبح منتسباً وسيمنح استخدام برنامج الفدية، ومنصة التفاوض، وموقع التسريب للعمليات. ذكر تقرير لـ Beazley Security، في تحليل لبرنامج الفدية، أن لوحة التحكم الخاصة بـ VECT 2.0 RaaS تغطي “دورة التشغيل الكاملة التي يحتاجها المنتسب بدءًا من إنشاء الحمولة وحتى الدفع”.

أكثر الثغرات شيوعاً (CVEs)

تتسارع وتيرة ظهور الثغرات مع كل أسبوع، وتتقلص الفجوة بين التصحيح والاستغلال بسرعة. إليك أبرز الثغرات لهذا الأسبوع: ثغرات عالية الخطورة، مستخدمة على نطاق واسع، أو يتم استغلالها حالياً. ننصح بالتحقق من القائمة وتصحيح ما هو مثبت لديكم، مع إعطاء الأولوية للثغرات الملحة.

تشمل الثغرات البارزة: CVE-2026-41940 (cPanel و WebHost Manager)، CVE-2026-31431 المعروفة بـ Copy Fail (Linux Kernel)، CVE-2026-42208 (LiteLLM)، CVE-2026-3854 (GitHub.com و GitHub Enterprise Server)، CVE-2026-32202 (Microsoft Windows Shell)، CVE-2026-26268 (Cursor)، CVE-2026-35414 (OpenSSH)، CVE-2026-6770 (Mozilla Firefox و Tor Browser)، CVE-2026-42167 (ProFTPD)، CVE-2026-24908، CVE-2026-23627، CVE-2026-24487 (OpenEMR)، CVE-2026-6807 (GRASSMARLIN)، CVE-2026-7363، CVE-2026-7361، CVE-2026-7344، CVE-2026-7343 (Google Chrome)، CVE-2026-7322، CVE-2026-7323، CVE-2026-7324 (Mozilla Firefox)، CVE-2026-6100 (CPython)، CVE-2026-0204 (SonicWall)، CVE-2026-35414 (OpenSSH)، CVE-2026-42511 (FreeBSD)، CVE-2026-40684، CVE-2026-40685، CVE-2026-40686، CVE-2026-40687 (Exim)، CVE-2026-5402، CVE-2026-5403، CVE-2026-5405، CVE-2026-5656 (Wireshark)، CVE-2026-42520، CVE-2026-42523، CVE-2026-42524 (Jenkins)، CVE-2026-3008 (Notepad++)، و CVE-2025-41658، CVE-2025-41659، CVE-2025-41660 (CODESYS).

ندوات حول الأمن السيبراني

• تعلم اكتشاف مسارات الهجوم التي تفوتها أدوات AppSec الخاصة بك → يربط المهاجمون المعاصرون بين الثغرات الصغيرة عبر الكود وخطوط الأنابيب والسحابة لإنشاء اختراقات كبيرة، بينما تظل أدوات AppSec الخاصة بك عمياء. انضم إلى هذه الندوة المجانية مع Wiz و The Hacker News لكشف مسارات الهجوم الحقيقية الأكثر شيوعاً وتعلم كيفية اكتشافها ورسمها وإيقافها بسرعة. رؤى عملية لتحديد أولويات المخاطر الحقيقية وتقوية دورة حياة برنامجك بالكامل.
• كيف تضاهي سرعة هجمات الذكاء الاصطناعي بالتحقق المستقل من التعرض → هل تواجه صعوبة في مواكبة هجمات الذكاء الاصطناعي التي تتحرك أسرع من استجابة فريقك؟ انضم إلى هذه الندوة المجانية من Picus Security & The Hacker News لاكتشاف التحقق المستقل من التعرض – كيفية العثور تلقائيًا على المخاطر الحقيقية، واختبار مسارات الهجوم، وإصلاحها في دقائق، وليس أسابيع. رؤى عملية بدون زخرفة للبقاء في المقدمة دون إرهاق. احجز مقعدك الآن.
• تعلم أحدث تهديدات الذكاء الاصطناعي + طرق عملية لإيقاف الوصول الأولي → يتسلل المهاجمون المعاصرون عبر الدفاعات التقليدية باستخدام التصيد الاحتيالي المدعوم بالذكاء الاصطناعي، والبرمجيات الخبيثة المشفرة، وتكتيكات “المريض صفر” الخفية. هل تريد البقاء في المقدمة؟ انضم إلى هذه الندوة المجانية مع Zscaler و The Hacker News لكشف أحدث اتجاهات التهديدات واستراتيجيات Zero Trust العملية التي توقف الاختراق الأولي بالفعل – قبل أن يصبح اختراقاً كاملاً. لا زخرفة، فقط رؤى حقيقية لحماية مؤسستك.

أخبار حول العالم السيبراني

• OpenAI تطلق ميزات أمان حساب متقدمة → أطلقت OpenAI ميزات “الأمان المتقدم للحساب”، وهي مجموعة من الحمايات الاختيارية لمستخدمي ChatGPT “مصممة للأشخاص المعرضين بشكل متزايد للهجمات الرقمية، وكذلك لأولئك الذين يرغبون في أقوى حماية للحسابات المتاحة”. كجزء من البرنامج الجديد، تعزز الضوابط الجديدة حمايات تسجيل الدخول، وتشديد استرداد الحساب، وتقليل التعرض للجلسات المخترقة، ومنح المستخدمين مزيدًا من الرؤية لنشاط الحساب. كما عقدت OpenAI شراكة مع Yubico لربط مفتاحين أمنيين ماديين، YubiKey C Nano و YubiKey C NFC، بحسابات ChatGPT. ومع ذلك، يمكن للمستخدمين استخدام أي مفتاح أمان آخر متوافق مع FIDO، أو استخدام مفاتيح المرور المستندة إلى البرمجيات للمصادقة المقاومة للتصيد الاحتيالي.
• أكثر من 8.8 ألف هجوم برامج فدية في 2025 → سجلت Fortinet 7,831 ضحية مؤكدة لبرامج الفدية عالميًا في عام 2025، بزيادة كبيرة من حوالي 1,600 ضحية تم تحديدها في عام 2024. “ساهم توفر مجموعات خدمات الجرائم مثل WormGPT و FraudGPT و BruteForceAI في هذه الزيادة السنوية بنسبة 389٪”، حسبما ذكرت Fortinet. “تشمل أهم ثلاثة قطاعات مستهدفة التصنيع (1,284)، والخدمات التجارية (824)، وتجارة التجزئة (682). ويشمل التركيز الجغرافي الولايات المتحدة (3,381) وكندا (374) وألمانيا (291)”.
• أداة التجسس KidsProtect لنظام Android متاحة على الويب → يتم الإعلان عن أداة تجسس جديدة لنظام Android تسمى KidsProtect علنًا على الويب، وتمنح المشغل تحكمًا سريًا شبه كامل في هاتف الضحية. “لا يمكن إزالته دون إذن المهاجم”، حسبما ذكرت Certo. “من لوحة تحكم عبر الويب، يمكن للمشغل تسجيل المكالمات سراً، وبث الصوت المباشر من ميكروفون الجهاز، وتتبع موقع GPS في الوقت الفعلي، وقراءة رسائل SMS والإشعارات من تطبيقات بما في ذلك WhatsApp و Viber، وتسجيل ضربات المفاتيح، والوصول إلى جهات الاتصال والصور، وتشغيل الكاميرات الأمامية والخلفية عن بعد”. يُقدر أن تكون هذه الأداة من عمل مطور يتحدث اليونانية، وهي متاحة بنظام الاشتراك بدءًا من 60 دولارًا، مما يسمح لأي شخص بشرائها وإعادة تسميتها وبدء بيعها كملك لهم.
• اكتشاف برمجية خبيثة جديدة KYCShadow لنظام Android → يتم توزيع برمجية خبيثة لنظام Android تتنكر في شكل تطبيق للتحقق من صحة خدمة “اعرف عميلك” (KYC) للبنوك عبر WhatsApp وتستهدف بشكل أساسي المستخدمين في الهند. “يعمل التطبيق كمرسل متعدد المراحل يثبت حمولة ثانوية ويقيم اتصالات قيادية وتحكم (C2) مستمرة”، حسبما ذكرت CYFIRMA. “إنه يجمع بين تشويش التعليمات البرمجية الأصلية، والتنفيذ عن بعد المستند إلى Firebase، والتلاعب بحركة مرور VPN، والتصيد الاحتيالي المستند إلى WebView لجمع بيانات المستخدم الحساسة بشكل منهجي.”
• حملة تصيد تستهدف منظمات في باكستان → تم اكتشاف أن حملة تصيد تستهدف بشكل دقيق سلطة مدن البنجاب الآمنة و PPIC3 في باكستان تستخدم مشاريع البنية التحتية الحكومية التي تبدو شرعية كطعم لتوصيل برمجيات خبيثة. “حمل البريد الإلكتروني مرفقين خبيثين: مستند Word مع مرسل ماكرو VBA وملف PDF مع طعم مزيف لبرنامج Adobe Reader، وكلاهما يقدمان حمولات من بنية تحتية خبيثة مستضافة على BunnyCDN”، حسبما ذكرت Joe Security. “سلسلة الهجوم تقيم وصولًا عن بعد مستمرًا عن طريق إساءة استخدام خدمة نفق VS Code الشرعية من Microsoft، مع إرسال إشعارات الاستخلاص عبر رابط Discord – وهي تقنية متطورة مصممة لتجنب الكشف على مستوى الشبكة.”
• هجمات التصيد المستوحاة من Calendly في تزايد → تستغل مجموعات تهديد متعددة حملات التصيد الاحتيالي المستوحاة من Calendly لتحديد زوار الموقع وسرقة بيانات الاعتماد وغيرها من البيانات. “خلف العلامة التجارية المشتركة لـ Calendly تكمن مجموعة متنوعة من مجموعات التصيد الاحتيالي، بما في ذلك أطر العمل المستندة إلى API، وتطبيقات Socket.IO في الوقت الفعلي، وسلاسل CAPTCHA المزيفة، والاستخلاص المستند إلى Telegram”، حسبما ذكرت urlscan.
• كشف حملات الاحتيال GovTrap و FEMITBOT → لوحظ أن جهات التهديد تنشر تكتيكات متطورة، بما في ذلك بوابات حكومية مزيفة، والتصيد الاحتيالي عبر الرسائل القصيرة، ونطاقات مشابهة، لدفع الاحتيال المالي وحصاد بيانات الاعتماد كجزء من جهد يسمى GovTrap. ينتحل الاحتيال لانتحال هوية الحكومة البوابات الرسمية بدقة عالية، مع توزيع روابط إلى المواقع المزيفة عبر الرسائل القصيرة أو البريد الإلكتروني. الهدف النهائي هو خداع المستخدمين لإدخال معلوماتهم الشخصية والمالية، أو إجراء مدفوعات غير موجودة يتم تحويلها عبر حسابات لغسيل الأموال. تُستخدم تفاصيل بطاقة الدفع المجمعة لتسهيل المعاملات الاحتيالية. قامت مجموعة تهديد أخرى باستغلال FEMITBOT، وهي بنية تحتية خبيثة تستغل تطبيقات Telegram المصغرة لتوسيع نطاق حملات الاحتيال العالمية وتسليم برمجيات خبيثة لنظام Android. “باستغلال ميزات Telegram الأصلية، يقوم جهات التهديد بإنشاء منصات مزيفة مقنعة للغاية عبر قطاعات التشفير والخدمات المالية والذكاء الاصطناعي والبث”، حسبما ذكرت CTM360. “مبنية على بنية معيارية تعتمد على القوالب، تتيح FEMITBOT النشر السريع، وانتحال العلامة التجارية، وتحسين الحملات باستخدام التتبع والتحليلات في الوقت الفعلي.”
• رصد متسلل PowerShell جديد يستهدف سطح المكتب → يحتوي برنامج نصي PowerShell مستضاف على Pastebin ويتنكر في شكل “تحديث بيانات تيلى ميتري لنظام Windows” على قدرات لسرقة بيانات جلسة Telegram Desktop عبر استخلاص Telegram bot API. “يقوم البرنامج النصي بجمع بيانات وصفية للمضيف، بما في ذلك اسم المستخدم واسم المضيف وعنوان IP العام عبر api.ipify[.]org، ثم يتحقق من مجلدات Telegram Desktop و Telegram Desktop Beta tdata”، حسبما ذكرت Flare. “إذا تم العثور عليها، فإنه ينهي عملية Telegram لتحرير أقفال الملفات، وأرشيفات مواد الجلسة في ‘TEMPdiag.zip’، ويقوم بتحميل الأرشيف إلى دردشة المشغل التي يتحكم فيها المهاجم عبر نقطة نهاية Telegram Bot API sendDocument.”
• زيادة في التصيد الاحتيالي عبر Teams في 2026 → لاحظت eSentire زيادة في التصيد الاحتيالي عبر Microsoft Teams منذ أوائل عام 2026، حيث يقوم جهات التهديد بانتحال شخصية موظفي دعم تكنولوجيا المعلومات ومكتب المساعدة لخداع المستخدمين لمنحهم وصولاً عن بعد إلى أجهزتهم. “غالباً ما ربطت هجمات التصيد هذه بعمليات قصف البريد الإلكتروني، يتبعها تواصل من جهات التهديد مع المستخدمين تحت ستار تقديم المساعدة لحل مشكلة”، حسبما ذكرت eSentire. “الهدف من الهجوم هو خداع المستخدم لمنح وصول عن بعد إلى جهازه، وبمجرد الحصول عليه، سيحاول جهات التهديد استخلاص البيانات وتنفيذ حمولات إضافية لإنشاء استمرارية أو نشر برامج الفدية.”
• برمجية KarstoRAT الجديدة تتيح سرقة البيانات → اكتُشفت برمجية KarstoRAT لأول مرة في أوائل عام 2026، وهي قادرة على استطلاع النظام، ومراقبة الصوت وكاميرا الويب، والتقاط لقطات الشاشة، وتسجيل ضربات المفاتيح، وسرقة الرموز. كما أنها تتيح لجهات التهديد تنزيل وتشغيل حمولات إضافية، مما قد يشير إلى استخدامها للتحكم بعد الاختراق على الأجهزة المصابة. “تستخدم KarstoRAT خادم قيادة وتحكم (C2) يحتوي على مجموعة متنوعة من المنافذ والخدمات المفتوحة، مما يشير إلى أنها تمتلك بنية تحتية متعددة الأغراض تم إنشاؤها للاتصال C2 وتوزيع الحمولات”، حسبما ذكرت LevelBlue. “يستخدم جهات التهديد سوقًا افتراضيًا مزيفًا لألعاب Blox Fruits (لعبة Roblox شهيرة) كطعم لخداع اللاعبين لتنزيل برمجيات خبيثة تقوم بتثبيت KarstoRAT على أجهزتهم.”
• ClickUp تكشف عن تعرض عناوين البريد الإلكتروني → قالت ClickUp إن تكوين مفتاح ميزة من جانب العميل الخاص بها كشف عن معلومات تعريف شخصية. شمل ذلك 893 عنوان بريد إلكتروني لعملاء مضمّن في قواعد استهداف ميزات العلامات، بالإضافة إلى علامة واحدة أشارت بشكل غير صحيح إلى رمز API الخاص بالعميل. “اقتصر التعرض على 893 عنوان بريد إلكتروني للعملاء المستخدمة في قواعد استهداف ميزات العلامات للتحكم في المستخدمين الذين يرون ميزات معينة أثناء عمليات الإطلاق”، حسبما ذكرت الشركة. “إذا كان عنوان بريدك الإلكتروني من بين تلك المدرجة في تكوين ميزة العلامات، فقد تم الاتصال بك مباشرة.” لم يكشف الحادث عن أي بيانات أخرى.
• السلطات الفنلندية تعتقل عضوًا مزعومًا في Scattered Spider → ألقت السلطات الفنلندية القبض على بيتر ستوكس البالغ من العمر 19 عامًا (المعروف أيضًا باسم Bouquet)، وهو مواطن مزدوج الجنسية أمريكي-إستوني، أثناء محاولته الصعود على متن رحلة إلى اليابان. اتهمه المدعون الأمريكيون بأنه عضو رئيسي في مجموعة Scattered Spider المخترقة الشهيرة، ويواجه تهمًا متعددة بالاحتيال الإلكتروني والتآمر واختراق الكمبيوتر.
• هجمات جديدة مرتبطة بـ Versatile Werewolf → تم ربط جهة التهديد المعروفة باسم Versatile Werewolf (المعروفة أيضاً باسم HeartlessSoul) بحملات تستهدف الهياكل الحكومية الروسية وشركات الطيران عبر رسائل التصيد الاحتيالي مع مرفقات أرشيفية خبيثة وحملات إعلانية خبيثة لتوصيل حصان طروادة JavaScript. الهدف النهائي هو الحصول على بيانات سرية، لا سيما المعلومات الجغرافية المكانية. بدلاً من ذلك، من المعروف أن جهات التهديد توزع رموز خبيثة باستخدام منصة SourceForge الشرعية عبر مشروع يسمى GearUP. يُعتقد أن Versatile Werewolf نشطة منذ سبتمبر 2025 على الأقل. تم اكتشاف ZDI-CAN-25373 في بعض المرفقات لتشغيل سلسلة العدوى. تستخدم حملة الإعلانات الخبيثة نطاقات مزيفة (“battleflight[.]pro”) لتقديم مثبتات وهمية لبرامج متعلقة بالطيران لتشغيل نفس الحصان الطروادي. “يتضمن الاختراق الأولي تنفيذ أوامر PowerShell أو برامج نصية مصممة لتنزيل محمل JavaScript من خوادم C2″، حسبما ذكرت Kaspersky. “يقوم هذا المحمل بدوره بتحميل وتنفيذ JS-RAT الرئيسي ووحداته في الذاكرة، ومن بينها وجدنا أدوات لجمع البيانات والاستخلاص، وسجلات ضربات المفاتيح، وأدوات التقاط الشاشة، وأدوات تجاوز UAC، وحمولات أخرى.” أشارت الشركة إلى أن النطاق “battleflight[.]pro” يحل إلى عنوان IP يستضيف أيضًا نطاقات مزيفة مرتبطة بـ GOFFEE APT. “يستهدف كلا المجموعتين بنشاط القطاع العام، مما يشير إلى إمكانية وجود حملات مشتركة أو منسقة.”
• Cisco تطلق مجموعة Model Provenance Kit → كشفت Cisco عن أداة جديدة مفتوحة المصدر، تسمى Model Provenance Kit، لمساعدة المؤسسات في معالجة المشكلات المحتملة المرتبطة باستخدام نماذج الذكاء الاصطناعي من طرف ثالث. “على غرار ما يكشفه اختبار الحمض النووي عن الأصول البيولوجية، تفحص مجموعة Model Provenance Kit كلاً من البيانات الوصفية والمعلمات المتعلمة الفعلية للنموذج (مثل جينوم فريد يتكون منه النموذج)، لتقييم ما إذا كانت النماذج تشترك في أصل مشترك وتحديد علامات التعديل”، حسبما ذكرت Cisco. “هذا، جنبًا إلى جنب مع دستور يحدد روابط المنشأ، يمثل خطوة مهمة نحو توفير ضمان قائم على الأدلة بأن الذكاء الاصطناعي الذي تقوم بنشره هو ما يدعي أنه كذلك.”
• إساءة استخدام Hugging Face و ClawHub لتوصيل البرمجيات الخبيثة → يقوم جهات التهديد بإساءة استخدام منصات الذكاء الاصطناعي الشرعية مثل Hugging Face و ClawHub لتوصيل البرمجيات الخبيثة، مما يدل مرة أخرى على كيفية استغلال الثقة في أنظمة الذكاء الاصطناعي البيئية. حددت Acronis أكثر من 575 مهارة خبيثة عبر 13 حساب مطور تستهدف أنظمة Windows و macOS ببرامج أحصنة طروادة، وعمال تعدين العملات المشفرة، و AMOS stealer، وهو برنامج سرقة معلومات يركز على macOS. “على Hugging Face، يستغل المهاجمون المستودعات لاستضافة الحمولات والعمل كبنية تحتية للمرحلة في سلاسل العدوى متعددة الخطوات، ونشر البرمجيات الخبيثة المتنكرة في شكل تطبيقات شرعية”، حسبما ذكرت Acronis.
• السلطات الأوروبية تصادر عصابة احتيال في العملات المشفرة → فككت السلطات الألبانية والنمساوية عصابة احتيال في استثمارات العملات المشفرة تسببت في خسائر تقدر بأكثر من 50 مليون يورو (58.5 مليون دولار) لضحايا في جميع أنحاء العالم. أدت العملية، التي استمرت عامين، إلى اعتقال عشرة أفراد، وتفتيش مبانٍ متعددة، ومصادرة 891,735 نقدًا، و 443 جهاز كمبيوتر، و 238 هاتفًا محمولاً، وستة أجهزة كمبيوتر محمولة، وأجهزة تخزين متعددة. “تُعتقد أن الشبكة الإجرامية، التي تدير على ما يبدو عدة مراكز اتصال في تيرانا، ألبانيا، قد تسببت في أضرار مالية كبيرة، بلغت ما لا يقل عن 50 مليون يورو”، حسبما ذكرت Europol. “تم إعداد مراكز الاتصال بشكل احترافي ومنظم، وتشبه الهياكل التجارية الشرعية مع تقسيم واضح للأدوار والإدارة الهرمية.” يُقدر أن الشبكة الإجرامية تضم ما يصل إلى 450 موظفًا عبر أقسام مختلفة. تضمنت الخطة إغراء الضحايا إلى منصات استثمار عبر الإنترنت تبدو شرعية من خلال إعلانات خادعة على وسائل التواصل الاجتماعي أو عمليات البحث على الويب، وإقناعهم بإجراء استثمارات تحت وعد بعوائد ضخمة. تم بعد ذلك تعيين وكلاء احتفاظ للضحايا، الذين انتحلوا صفة مستشارين استثماريين واستخدموا برامج الوصول عن بعد للسيطرة الكاملة على أجهزتهم. “تظاهر المحتالون بالخبرة المهنية واستخدموا الضغط النفسي لإقناع الضحايا بإجراء استثمارات إضافية، مدعين كذبًا أنها ستكون مربحة”، حسبما ذكرت Europol. “في الواقع، لم يتم استثمار الأموال أبدًا، بل تم توجيهها إلى مخطط غسيل أموال دولي معقد، واختفت في نهاية المطاف في أيدي المنظمة الإجرامية.” في بعض الحالات، اتصل المحتالون بالضحايا مرة أخرى وعرضوا المساعدة في استعادة أموالهم المسروقة، فقط للمطالبة برسوم دخول قدرها 500 يورو وخداعهم مرة أخرى.
• ثغرات في EnOcean’s SmartServer → تم الكشف عن ثغرتين أمنيتين في منصة EnOcean’s SmartServer IoT تؤثر على الإصدار 4.60.009 وما قبله. وفقًا لـ Claroty: “CVE-2026-20761 تسمح للمهاجمين عن بعد بإرسال رسائل LON IP-852 خبيثة معدة، مما يؤدي إلى تنفيذ أوامر عشوائية على الأجهزة. CVE-2026-22885 تسمح للمهاجمين عن بعد بإرسال رسائل IP-852 خبيثة معدة تتجاوز حمايات الذاكرة ASLR وتتسرب الذاكرة.” يؤدي الاستغلال الناجح للثغرات إلى سيطرة المهاجمين على أنظمة إدارة المباني وأتمتة المباني التي تعمل بالإصدارات المتأثرة من هذه المنصة وأجهزة i.LON القديمة. تم إصدار تصحيحات لكلا الثغرتين.
• Google تعلن عن تحديث Android Credential Manager → أعلنت Google عن تحديث جديد لـ Android Credential Manager يسمح للتطبيقات بالتحقق تلقائيًا من عنوان Gmail الشخصي للمستخدم دون الحاجة إلى رموز مرور لمرة واحدة (OTPs) أو روابط التحقق عبر البريد الإلكتروني. “تصدر Google الآن بيانات اعتماد بريد إلكتروني تم التحقق منها بشكل تشفيري مباشرة إلى أجهزة Android”، حسبما ذكرت الشركة. “بالنسبة للمستخدمين، هذا يزيل تمامًا الحاجة إلى التحقق يدويًا من بريدهم الإلكتروني عبر قنوات خارجية. بالنسبة للمطورين، توفر واجهة برمجة التطبيقات (API) بشكل آمن هذه الادعاءات المستخدمة التي تم التحقق منها لأي سيناريو، سواء كنت تبني تدفقًا لإنشاء حساب، أو عملية استرداد، أو خطوة مصادقة قوية.”
• تسريب ما يقرب من 8.8 ألف سر في الإنترنت → وفقًا لـ Truffle Security، تم تسريب 8,792 سرًا فريدًا تم التحقق منه عبر بيئات التطوير المستندة إلى الويب. تم العثور على الرموز عبر 22 مليون مشروع عام مستضاف على بيئات التطوير السحابية (CDEs) مثل CodePen و CodeSandbox و JSFiddle و StackBlitz.
• هل هناك المزيد وراء اختراق Xygeni؟ → تم العثور على اتصالات متعددة بين اختراق ماسح الثغرات Xygeni على GitHub وشبكة وكلاء من أجهزة توجيه ASUS و TP-Link المخترقة. تم اختراق بعض أجهزة التوجيه الاستهلاكية TP-Link باستخدام Microsocks لإدراجها في شبكة وكلاء سكنية. “كانت هذه الأجهزة تعمل أيضًا مع إرسال إشارات قيادة وتحكم مخصص باسم ShadowLink”، حسبما ذكرت Ctrl-Alt-Intel. “عندما قمنا بتحليل بروتوكول ShadowLink، وجدنا أنه مطابق، وصولاً إلى سر مصادقة مشترك، للباب الخلفي المزروع في Xygeni GitHub Action المستخدم في هجوم سلسلة التوريد هذا.”
• شركة برازيلية لمكافحة DDoS وراء هجمات DDoS على مزودي خدمة الإنترنت → تقوم Huge Networks، وهي شركة تكنولوجيا برازيلية متخصصة في حماية الشبكات من هجمات الحرمان من الخدمة الموزعة (DDoS)، بتمكين شبكة روبوتات مسؤولة عن هجمات DDoS ضخمة ضد مزودي خدمة إنترنت آخرين في البلاد، وفقًا لـ KrebsOnSecurity. ذكرت الشركة منذ ذلك الحين أن النشاط الخبيث كان نتيجة لاختراق تم اكتشافه لأول مرة في يناير 2026، وادعت أنه من المحتمل أن يكون عمل منافس.
• Canonical هدف لهجوم DDoS مستمر → كشفت Canonical أن بنيتها التحتية للويب تعرضت لـ “هجوم مستمر وعابر للحدود”، مما أدى إلى توقف خوادم Ubuntu عن العمل لعدة ساعات. أعلنت مجموعة قراصنة مؤيدة لإيران تُعرف باسم مقاومة الإنترنت الإسلامية في العراق، أو فريق 313، مسؤوليتها عن الهجوم على Telegram. عادت المواقع للعمل منذ ذلك الحين. في الشهر الماضي، قامت المجموعة أيضًا بتعطيل الوصول إلى منصة التواصل الاجتماعي اللامركزية Bluesky.
• تفاصيل مجموعة التصيد الجديدة Bluekit → تقدم مجموعة التصيد الجديدة المسماة Bluekit أكثر من 40 قالبًا تستهدف خدمات شائعة وتتضمن ميزات أساسية مدعومة بالذكاء الاصطناعي (AI) لإنشاء مسودات الحملات. يمكن استخدام القوالب المتوفرة لاستهداف حسابات البريد الإلكتروني (Outlook، Hotmail، Gmail، Yahoo، ProtonMail)، وخدمات السحابة والمؤسسات (iCloud و Zoho)، ومنصات المطورين (GitHub)، وخدمات العملات المشفرة (Ledger). ما يميز المجموعة هو وجود لوحة مساعد الذكاء الاصطناعي التي تدعم نماذج متعددة، بما في ذلك Llama و GPT-4.1 و Claude و Gemini و DeepSeek، لمساعدة المجرمين في صياغة رسائل البريد الإلكتروني الخاصة بالتصيد الاحتيالي. كما أنها تدعم المصادقة الثنائية، ومحاكاة تحديد الموقع الجغرافي، وتمويه مكافحة الروبوتات، والإشعارات، وقدرات الانتحال، واستنساخ الصوت، ومرسل بريد. يعزز هذا التطور مرة أخرى الاتجاه الأوسع لخدمات الإجرام الإلكتروني التي تدمج الذكاء الاصطناعي لتبسيط وتوسيع نطاق عملياتها. Bluekit هي المجموعة الثانية التي تدمج ميزات الذكاء الاصطناعي في شهرين. في أبريل 2026، كشفت Abnormal Security عن منصة جريمة سيبرانية تسمى ATHR تستخدم وكلاء vishing يعملون بالذكاء الاصطناعي، ولوحات حصاد بيانات الاعتماد، ومرسلي بريد إلكتروني مدمجين لتنفيذ وتوسيع نطاق هجمات توصيل موجهة عبر الهاتف (TOAD).
• كوريا الشمالية تصف ادعاءات التهديد السيبراني الأمريكية بأنها تلفيق → رفضت وزارة خارجية كوريا الشمالية اتهامات الولايات المتحدة بأن البلاد تشكل تهديدًا سيبرانيًا، مشيرة إلى أن الولايات المتحدة تنشر معلومات كاذبة حول تهديد سيبراني غير موجود من كوريا الشمالية لأغراض سياسية، حسبما أفادت رويترز. ذكرت الوزارة أنها “ستتخذ بنشاط جميع التدابير اللازمة للدفاع عن مصالح الدولة وحماية حقوق ومصالح مواطنيها في الفضاء السيبراني.”

أدوات الأمن السيبراني

• Model Provenance Kit → هي أداة Python مجانية مفتوحة المصدر من Cisco AI Defense تساعد في تحديد ما إذا كان نموذج التعلم الآلي يعتمد على نموذج أساسي معروف (مثل Llama، Mistral، GPT، إلخ). تقوم بتحليل البنية، والتوكنيزر، والأوزان لمقارنة نموذجين بسرعة أو مقارنتهما بقاعدة بيانات تضم حوالي 150 نموذجًا أساسيًا شائعًا.
• AutoFyn → هي أداة مفتوحة المصدر من SignalPilot Labs تشغل Claude AI في حلقات تحسين ذاتي لتحسين الأهداف القابلة للقياس. قم بتزويدها بمستودع GitHub، ومهمة واضحة (مثل تقوية الأمان، وإصلاح الأخطاء، أو تحسين الأداء)، وميزانية زمنية – تعمل في جولات معزولة، وتتبع التقدم بتقييمات حقيقية، وتتعلم من الأخطاء، وتقدم كودًا محسنًا عبر طلبات السحب.

إخلاء مسؤولية: هذا موجّه لأغراض البحث والتعلم فقط. لم يخضع لتدقيق أمني رسمي، لذا لا تقم بتطبيقه بشكل أعمى في بيئة الإنتاج. اقرأ الكود، واختبره في بيئة معزولة أولاً، وتأكد من أن أي شيء تفعله يظل ضمن الإطار القانوني.

الخلاصة

ابقى يقظاً.

تسارع وتيرة الهجمات، وتتقلص هامش التأخير. قم بتصحيح ما يمكنك اليوم، وتحقق من سلاسل التوريد الخاصة بك، وشدد الوصول إلى الخدمات السحابية، وعامل كل تسجيل دخول “روتيني” أو تشغيل لخط أنابيب على أنه قد يكون عدائيًا. العادات الصغيرة اليوم ستوفر عليك صداعًا كبيرًا لاحقًا.

نلقاكم الأسبوع المقبل. حافظوا على تدابير دفاعكم محكمة وأعينكم مفتوحة. التهديدات لن تنتظر – ولن ننتظر نحن. نراكم في الملخص القادم.