Close Menu
Login
المراقب الأمني
تسريبات البيانات

ملخص الأسبوع: استغلال الذكاء الاصطناعي، تجسس الاتصالات، سرقة الأوامر والمزيد

فريق التحريربواسطة 9 دقائق10 زيارة

أبوظبي، الإمارات العربية المتحدة – شهد الأسبوع الماضي تسليط الضوء على كيف يمكن لأوجه القصور البسيطة في إجراءات الأمان السيبراني أن تتسبب في تفاقم المشكلات بسرعة، حيث وجدت الأدوات المصممة لتوفير الوقت والحد من الاحتكاك نقاط دخول سهلة للمهاجمين عند تجاهل الإجراءات الوقائية الأساسية. هذه التقارير تتبع مسار هذه الإخفاقات وتداعياتها.

لقد تضخمت المخاطر مع انتشار ثغرة واحدة أو إعداد خاطئ واحد ليؤثر على الملايين، أو تكرار عيب قابل للتكرار مرارًا وتكرارًا. تسللت برامج التصيد الاحتيالي إلى التطبيقات التي يعتمد عليها المستخدمون يوميًا، واندسّت البرمجيات الخبيثة في سلوكيات النظام الروتينية. ورغم اختلاف الضحايا، فإن الأسلوب الأساسي يظل واحدًا: الظهور بشكل طبيعي، التحرك بسرعة، والانتشار قبل تفعيل الإنذارات.

من جهة أخرى، تتزايد الضغوط على المدافعين، حيث يتم استغلال الثغرات الأمنية فور ظهورها. وتظهر المعلومات والادعاءات المتضاربة قبل استقرار الحقائق. تتكيف المجموعات الإجرامية بشكل أسرع مع كل دورة جديدة. تستعرض القصص التالية أين فشلت الأمور، ولماذا تظل هذه الإخفاقات ذات أهمية للمستقبل.

ثغرة خطيرة في n8n تثير القلق

تم الكشف عن ثغرة أمنية ذات خطورة قصوى في منصة n8n لأتمتة سير العمل، مما يسمح بتنفيذ تعليمات برمجية عن بُعد دون مصادقة، مما قد يؤدي إلى اختراق كامل للنظام. تُعرف هذه الثغرة باسم “Ni8mare” ويتم تتبعها ضمن المعرف CVE‑2026‑21858. تؤثر الثغرة على الإصدارات المنشورة محليًا والتي تعمل بأقل من الإصدار 1.121.0.

تنبع المشكلة من كيفية معالجة n8n للبيانات الواردة، مما يوفر مسارًا مباشرًا من طلب خارجي غير مصادق عليه إلى اختراق بيئة الأتمتة. يأتي هذا الكشف في أعقاب عدة ثغرات عالية التأثير تم الإعلان عنها خلال الأسبوعين الماضيين.

تظهر المشكلة في سير العمل القائم على الاستمارات حيث يتم تنفيذ وظائف معالجة الملفات دون التحقق أولاً من أن الطلب قد تمت معالجته بالفعل كـ “multipart/form-data”. تسمح هذه الثغرة للمهاجم بإرسال طلب مُصاغ خصيصًا باستخدام نوع محتوى غير ملف، مع صياغة جسم الطلب لمحاكاة الهيكل الداخلي المتوقع للملفات المحملة.

نظرًا لأن منطق التحليل لا يتحقق من تنسيق البيانات الواردة، فإنه يمكّن المهاجم من الوصول إلى مسارات ملفات عشوائية على مضيف n8n، بل ويصعد بها إلى تنفيذ التعليمات البرمجية. يمتد التأثير ليشمل أي مؤسسة تستخدم n8n لأتمتة سير العمل الذي يتفاعل مع أنظمة حساسة.

ومع ذلك، لاحظت جهات أخرى أن الاستغلال الناجح يتطلب مجموعة من المتطلبات الأساسية التي من غير المرجح العثور عليها في معظم عمليات النشر الواقعية، مثل مكون استمارة n8n الذي يمكن الوصول إليه بشكل عام دون مصادقة، وآلية لاسترداد الملفات المحلية من خادم n8n.

أخبار متفرقة في عالم الأمن السيبراني

بوت نت Kimwolf يصيب 2 مليون جهاز أندرويد

نما بوت نت Kimwolf، وهو نسخة أندرويد من برمجية Aisuru الخبيثة، إلى أكثر من مليوني جهاز، معظمها أصيب عن طريق استغلال ثغرات في شبكات الوكيل السكنية لاستهداف الأجهزة على الشبكات الداخلية. يعتمد نمو Kimwolf السريع بشكل كبير على إساءة استخدام شبكات الوكيل السكنية للوصول إلى أجهزة أندرويد الضعيفة.

تستفيد البرمجية الخبيثة تحديدًا من مزودي الوكلاء الذين يسمحون بالوصول إلى عناوين ومنافذ الشبكة المحلية، مما يسمح بالتفاعل المباشر مع الأجهزة التي تعمل على نفس الشبكة الداخلية مثل عميل الوكيل. بدأت النشاطات المرتفعة في مسح خدمات ADB غير المصادق عليها المعرضة عبر نقاط نهاية الوكيل.

قراصنة صينيون يطورون استغلالًا لثلاث ثغرات في VMware

يشتبه في أن جهات تهديد ناطقة بالصينية قد استغلت جهاز VPN من SonicWall كمتجه وصول أولي لنشر استغلال لـ VMware ESXi، والذي ربما تم تطويره قبل أكثر من عام من الكشف عن مجموعة من ثلاث ثغرات اعتمد عليها. يُعتقد أن الهجوم استغل ثلاث ثغرات في VMware تم الكشف عنها كـ “zero-days” من قبل Broadcom في مارس 2025.

يمكن أن يسمح الاستغلال الناجح للممثل الخبيث ذي الامتيازات الإدارية بتسريب الذاكرة من عملية VMX أو تنفيذ تعليمات برمجية كعملية VMX. قامت الجهات الفاعلة بتعطيل برامج تشغيل VMware الخاصة، وتحميل وحدات النواة غير الموقعة، والاتصال بالمنزل بطرق مصممة لتجنب الكشف.

مجموعة UAT-7290 الصينية تستهدف شركات الاتصالات ببرمجيات Linux خبيثة

تم عزو حملة تجسس سيبراني طويلة الأمد تستهدف البنية التحتية الهامة للاتصالات في جنوب آسيا إلى جهة تهديد متطورة تُعرف باسم UAT-7290. تركز مجموعة النشاط، النشطة منذ عام 2022 على الأقل، بشكل أساسي على الاستطلاع التقني المكثف للمنظمات المستهدفة قبل بدء الهجمات، مما يؤدي في النهاية إلى نشر عائلات برمجيات خبيثة مثل RushDrop و DriveSwitch و SilentRaid.

تُبرز الحملة التركيز المستمر على شبكات الاتصالات في جنوب آسيا وتؤكد على القيمة الاستراتيجية لهذه البيئات للجهات الفاعلة السيبرانية المتقدمة.

ملحقان ضاران لمتصفح Chrome يسرقان المحادثات

تم اكتشاف ملحقين جديدين ضارين في متجر Chrome الإلكتروني، “Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI” و “AI Sidebar with DeepSeek, ChatGPT, Claude, and more”، يقومان بتسريب محادثات OpenAI ChatGPT و DeepSeek جنبًا إلى جنب مع بيانات التصفح إلى خوادم تحت سيطرة المهاجمين. تمت إزالة الملحقات، التي تم تثبيتها مجتمعة 900 ألف مرة، منذ ذلك الحين بواسطة Google.

PHALT#BLYX يستهدف قطاع الضيافة في أوروبا

تستهدف حملة برمجيات خبيثة جديدة متعددة المراحل منظمات الضيافة في أوروبا باستخدام تقنيات الهندسة الاجتماعية مثل مطالبات CAPTCHA الوهمية وأخطاء شاشة الموت (BSoD) لمحاكاة لتضليل المستخدمين لتنفيذ تعليمات برمجية خبيثة يدويًا تحت ستار وعود إلغاء الحجز. تُعرف هذه الحملة باسم PHALT#BLYX، وتمثل تطوراً عن التقنيات السابقة الأقل تجنباً.

تستغل الحملة الحالية MSBuild.exe، وهي أداة Microsoft موثوقة، لتجميع وتنفيذ ملف مشروع خبيث. يمكّن نهج “العيش على الأرض” (LotL) هذا البرمجية الخبيثة من تجاوز العديد من ضوابط أمان نقطة النهاية وتقديم نسخة مشوشة بشدة من DCRat. يُعتقد أن النشاط من عمل جهات فاعلة ناطقة بالروسية. تستخدم الهجمات تكتيك هندسة اجتماعية يُعرف باسم ClickFix، حيث يتم خداع المستخدمين لتنفيذ أوامر تبدو غير ضارة يدويًا والتي تثبت فعليًا برمجيات خبيثة.

أبرز الثغرات (CVEs)

يتصرف القراصنة بسرعة. يمكنهم استخدام الثغرات الجديدة في غضون ساعات. يمكن لتحديث واحد تم تفويته أن يسبب خرقًا كبيرًا. إليك أخطر الثغرات الأمنية لهذا الأسبوع. تحقق منها، أصلح ما يهم أولاً، وحافظ على حمايتك. تتضمن قائمة هذا الأسبوع معرفات ثغرات لـ n8n، و Trend Micro Apex Central، و Cisco Identity Services Engine، و Coolify، و Veeam Backup & Replication، وأجهزة توجيه D-Link DSL، و TOTOLINK EX200، و @adonisjs/bodyparser، و jsPDF، و GNU Wget2، و Apple macOS Tahoe، و Google Android، و Forcepoint One DLP Client، و Signal K Server، و listmonk، و libcoap، و Google Chrome، و Linux TLP، و GitLab CE/EE، و Undertow HTTP server core، و BeeS Examination Tool، و OWASP Core Rule Set، و Tencent WeKnora، و @react-router/node، و @remix-run/node، و @remix-run/deno، و Xspeeder SXZOS.

حول العالم السيبراني

  • الهند تنفي مزاعم طلب شفرة المصدر للهواتف الذكية: نفى المكتب الصحفي الهندي (PIB) تقريرًا لرويترز يفيد بأن الحكومة الهندية قد اقترحت قواعد تتطلب من مصنعي الهواتف الذكية مشاركة شفرة المصدر مع الحكومة وإجراء العديد من التغييرات البرمجية كجزء من مجموعة من الإجراءات الأمنية لمعالجة الاحتيال عبر الإنترنت وخروقات البيانات. قالت PIB: “لم تقترح الحكومة الهندية أي إجراء لإجبار مصنعي الهواتف الذكية على مشاركة شفرة المصدر الخاصة بهم”.
  • Meta تنفي وجود خرق لتطبيق Instagram: قالت Meta إنها أصلحت مشكلة “سمحت لطرف خارجي بطلب رسائل إعادة تعيين كلمة المرور لبعض الأشخاص”. وذكرت أنه لا يوجد خرق لأنظمتها وحسابات المستخدمين آمنة.
  • 8.1 مليون جلسة هجوم مرتبطة بـ React2Shell: سجلت شركة GreyNoise لأبحاث التهديدات أكثر من 8.1 مليون جلسة هجومية منذ الكشف الأولي عن React2Shell الشهر الماضي، مع استقرار “الأحجام اليومية في نطاق 300,000-400,000 بعد ذروتها فوق 430,000 في أواخر ديسمبر”.
  • Salt Typhoon الصينية متصلة بهجمات أمريكية جديدة: يُزعم أن مجموعة التجسس الصينية Salt Typhoon قد اخترقت أنظمة البريد الإلكتروني المستخدمة من قبل موظفي لجان متعددة في مجلس النواب الأمريكي، وفقًا لتقرير من Financial Times.
  • إطلاق سراح لاعب كرة سلة روسي متهم بالارتباط بعصابة فدية: تم إطلاق سراح لاعب كرة سلة روسي متهم بالضلوع في عصابة فدية في صفقة تبادل أسرى بين روسيا وفرنسا. يُزعم أن دانييل كاساتكين، 26 عامًا، كان متورطًا في عصابة فدية زعمت استهداف ما يقرب من 900 كيان بين عامي 2020 و 2022.
  • النشاط غير المشروع للعملات المشفرة يصل إلى مستوى قياسي بلغ 158 مليار دولار في عام 2025: وصل النشاط غير المشروع للعملات المشفرة إلى أعلى مستوى له على الإطلاق عند 158 مليار دولار في عام 2025، بزيادة تقارب 145٪ عن عام 2024، وفقًا لـ TRM Labs.
  • الصين تشدد الرقابة على جمع البيانات الشخصية عبر الإنترنت: أصدرت الصين لوائح مسودة لحوكمة جمع المعلومات الشخصية من الإنترنت واستخدامها، كجزء من جهودها لحماية حقوق المستخدمين وتعزيز الشفافية.
  • ثغرة أمنية حرجة في Kiro GitLab Merge Request Helper: تم الكشف عن ثغرة أمنية عالية الخطورة في Kiro’s GitLab Merge Request Helper (CVE-2026-0830، درجة CVSS: 8.4) يمكن أن تؤدي إلى حقن أوامر عشوائية عند فتح مساحة عمل مُصاغة خصيصًا في IDE الوكالة.
  • هجمات التصيد الاحتيالي تستخدم WeChat في عمليات الاحتيال المرتبطة بالصين: لاحظت KnowBe4 زيادة في رسائل البريد الإلكتروني التصيدية التي تستهدف الولايات المتحدة ومنطقة أوروبا والشرق الأوسط وأفريقيا والتي تستخدم رموز QR لـ WeChat “إضافة جهة اتصال”.
  • حملة تصيد احتيالي تقدم GuLoader: تُستخدم حملة تصيد احتيالي جديدة متنكرة في شكل تقرير أداء الموظفين لتقديم مُحمّل برمجيات خبيثة يُعرف باسم GuLoader، والذي يقوم بعد ذلك بنشر برنامج تجسس للوصول عن بُعد معروف باسم Remcos RAT.
  • ثغرة حرجة في zlib: يمكن استغلال ثغرة أمنية حرجة في أداة untgz من zlib (CVE-2026-22184، درجة CVSS: 9.3) لتحقيق تجاوز سعة المخزن المؤقت، مما يؤدي إلى كتابة خارج الحدود يمكن أن تؤدي إلى تلف الذاكرة، وحرمان من الخدمة، واحتمال تنفيذ التعليمات البرمجية اعتمادًا على المترجم، والبنية، وعلامات البناء، وتخطيط الذاكرة.
  • قاعدة بيانات BreachForums تتسرب: تم تحديث موقع “shinyhunte[.]rs”، المسمى على اسم عصابة الابتزاز ShinyHunters، ليسرب قاعدة بيانات تحتوي على جميع سجلات المستخدمين المرتبطين بـ BreachForums.

ندوات عبر الإنترنت حول الأمن السيبراني

  • توقف عن التخمين في استراتيجية SOC الخاصة بك: تعرف على ما يجب بناؤه، شراؤه، أو أتمتته
  • كيف تستخدم أفضل شركات MSSPs الذكاء الاصطناعي للنمو في عام 2026: تعلم صيغتهم

أدوات الأمن السيبراني

  • ProKZee: أداة سطح مكتب متعددة المنصات لالتقاط وفحص وتعديل حركة مرور HTTP/HTTPS.
  • Portmaster: جدار حماية مجاني مفتوح المصدر وأداة خصوصية لنظامي التشغيل Windows و Linux تتحكم في جميع اتصالات شبكة النظام.
  • STRIDE GPT: إطار عمل نمذجة تهديدات مفتوح المصدر قائم على الذكاء الاصطناعي يقوم بأتمتة طريقة STRIDE لتحديد المخاطر ومسارات الهجوم.

إخلاء المسؤولية: هذه الأدوات مخصصة للتعلم والبحث فقط. لم يتم اختبارها بالكامل من أجل الأمان. إذا تم استخدامها بطريقة خاطئة، فقد تسبب ضررًا. تحقق من الكود أولاً، واختبر فقط في أماكن آمنة، واتبع جميع القواعد والقوانين.

خاتمة

تُظهر هذه التحديثات مجتمعة مدى سرعة تحوّل الأنظمة المألوفة إلى أنظمة خطرة عندما لا يتم التشكيك في الثقة. لم تبدأ معظم الأضرار باستغلالات ذكية. بل بدأت بأدوات عادية تقوم بهدوء بأكثر مما يتوقعه أي شخص.

نادراً ما يتطلب الأمر فشلاً دراماتيكياً. تحديث تم تفويته. خدمة مكشوفة. نقرة روتينية تمر دون أن يلاحظها أحد. قم بمضاعفة هذه الأخطاء الصغيرة، وسينتشر التأثير أسرع مما تستطيع الفرق احتواءه.

الدرس واضح. تنمو تهديدات اليوم من العمليات العادية، وتتحرك بسرعة وعلى نطاق واسع. تأتي الميزة من اكتشاف أين تتراكم هذه الضغوط قبل أن تنكسر.

شاركها.

يُقدّم فريقنا تقارير موثوقة وتحليلات متعمقة لمساعدة القراء والمتخصصين على فهم مشهد التهديدات الرقمية عالميًا.

Keep Reading

© 2026 أخبار الهاكرز. جميع الحقوق محفوظة.