تمثل الهجمات الإلكترونية المتطورة تهديدًا مستمرًا للأفراد والمؤسسات على حد سواء. ومع تسارع وتيرة التهديدات السيبرانية، بات من الضروري تسليط الضوء على أحدث المستجدات في هذا المجال.
شهد الأسبوع الماضي كشفًا عن ثغرات أمنية جديدة، وهجمات متطورة استغلت نقاط ضعف في أنظمة شائعة، بالإضافة إلى جهود دولية لمكافحة الجرائم السيبرانية. تُظهر هذه التطورات الحاجة الملحة لتعزيز الوعي الأمني وتبني أفضل الممارسات لحماية البيانات والأنظمة.
استغلال ثغرة Trivy يشكل تهديدًا لسلسلة التوريد
مثل اختراق ماسح الثغرات الأمنية مفتوح المصدر Trivy، والذي يستخدم على نطاق واسع، مؤشرًا خطيرًا على استهداف سلاسل التوريد. أقدم المهاجمون على تحميل برامج ضارة لسرقة بيانات الاعتماد في الإصدارات الرسمية لـ Trivy، بالإضافة إلى استخدامها في مسارات العمل التلقائية (CI/CD workflows) لآلاف المؤسسات.
أدت هذه الثغرة إلى سلسلة من الاختراقات الإضافية في المشاريع والمؤسسات التي لم تقم بتدوير أسرارها (secrets)، مما أدى إلى انتشار دودة تتكاثر ذاتيًا تُعرف باسم CanisterWorm. يُعد Trivy، الذي طورته Aqua Security، أحد أكثر ماسحات الثغرات الأمنية استخدامًا، حيث يحظى بأكثر من 32,000 نجمة على GitHub وأكثر من 100 مليون تنزيل على Docker Hub.
يمثل هذا الاختراق أحدث حلقة في سلسلة متزايدة من الهجمات التي تستهدف مسارات العمل على GitHub والمطورين بشكل عام. تجدر الإشارة إلى أن GitHub قد غيرت السلوك الافتراضي لعمليات pull_request_target في ديسمبر 2025 لتقليل مخاطر الاستغلال.
أبرز التطورات في مجال الأمن السيبراني
عمليات مكافحة شبكات البوت نت لشن هجمات DDoS
نجحت جهود إنفاذ القانون في تفكيك مجموعة من شبكات البوت نت الكبيرة التي كانت مسؤولة عن بعض أكبر هجمات الحرمان من الخدمة (DDoS) المسجلة على الإطلاق. وتشمل هذه الشبكات AISURU، و Kimwolf، و JackSkid، و Mossad.
انتشرت شبكات البوت نت هذه بشكل أساسي عبر أجهزة التوجيه (routers) وكاميرات المراقبة وأجهزة تسجيل الفيديو الرقمية، والتي غالبًا ما تُشحن ببيانات اعتماد ضعيفة ولا يتم تصحيحها بانتظام. أزالت السلطات خوادم القيادة والتحكم المستخدمة للسيطرة على العقد المصابة.
جمعت هذه الشبكات لأفرادها أكثر من 3 ملايين جهاز، والتي قاموا بعد ذلك ببيع الوصول إليها لمجرمي الإنترنت الآخرين، الذين استخدموها لاستهداف الضحايا بهجمات DDoS لإسقاط المواقع الإلكترونية وخدمات الإنترنت، أو لإخفاء أنشطة إجرامية أخرى. وكانت بعض هذه الهجمات تستهدف أنظمة وزارة الدفاع الأمريكية وجهات أخرى ذات قيمة عالية. لم يتم الإعلان عن أي اعتقالات، لكن يُعتقد أن مشتبه بهم مرتبطين بـ AISURU/Kimwolf يتواجدان في كندا وألمانيا. تُعد شبكات البوت نت هذه متغيرات من Mirai، الذي تم تسريب شفرته المصدرية في عام 2016 وكان نقطة انطلاق لشبكات بوت نت أخرى.
جوجل تطرح آلية تدفق متقدمة لتثبيت التطبيقات من مصادر خارجية على أندرويد
تعمل آلية التدفق المتقدم الجديدة من جوجل على تغيير طريقة تثبيت التطبيقات من مطورين غير موثوقين، مما يضيف عوائق إضافية لمكافحة الاحتيال والبرامج الضارة. تستهدف هذه الميزة المستخدمين ذوي الخبرة وتسمح بتثبيت التطبيقات من مصادر خارجية عبر إعداد لمرة واحدة.
تضيف آلية التدفق المتقدم تأخيرًا لمدة 24 ساعة وخطوات تحقق تهدف إلى تعطيل الضغط القسري ومنح المستخدمين وقتًا لاتخاذ قراراتهم. تم تصميمها لمعالجة السيناريوهات التي يضغط فيها المهاجمون على الأفراد لتثبيت برامج غير آمنة، مستغلين إلحاح العملية لدفعهم لتجاوز تحذيرات الأمان وتعطيل آليات الحماية قبل أن يتمكنوا من التوقف أو طلب المساعدة.
ثغرة حرجة في Langflow تتعرض للاستغلال
تعرضت ثغرة أمنية حرجة تؤثر على Langflow للاستغلال النشط في غضون 20 ساعة من الكشف العام عنها، مما يسلط الضوء على السرعة التي يستغل بها المهاجمون الثغرات الأمنية المنشورة حديثًا. وتُعرف هذه الثغرة بـ CVE-2026-33017، ولها درجة خطورة 9.3 على مقياس CVSS، وهي حالة من عدم كفاية المصادقة مع إمكانية حقن الأكواد، مما قد يؤدي إلى تنفيذ أكواد عن بُعد.
صرحت شركة Sysdig للأمن السيبراني السحابي بأن الهجمات تستغل الثغرة لسرقة البيانات الحساسة من الأنظمة المخترقة. وأوضح أفيرال سريفاستافا، مكتشف الثغرة، أن الأدلة العملية تثبت أن الجهات الفاعلة في مجال التهديد استغلتها في البرية خلال 20 ساعة من نشر الإشعار العام، دون توفر شفرة إثبات المفهوم (PoC) علنًا. تمكنوا من بناء استغلالات فعالة بمجرد قراءة وصف الإشعار، وهو ما يدل على سهولة استغلالها.
برنامج الفدية Interlock يستغل ثغرة Cisco FMC كـ Zero-Day
استغل برنامج الفدية Interlock ثغرة أمنية حرجة في برنامج Cisco Secure Firewall Management Center (FMC) كـ “يوم صفر” (zero-day) قبل أكثر من شهر من الكشف العام عنها. تتعلق الثغرة المحددة بـ CVE-2026-20131 (CVSS score: 10.0)، وهي حالة من عدم الأمان في عملية إلغاء التسلسل (deserialization) لبايتات جافا المقدمة من المستخدم، والتي يمكن أن تسمح لمهاجم عن بعد غير مصادق عليه بتجاوز المصادقة وتنفيذ أكواد جافا عشوائية بصلاحيات الجذر (root) على الجهاز المتأثر.
قالت أمازون، التي رصدت النشاط، إن هذا لم يكن مجرد استغلال لثغرة أمنية عادية؛ بل كان لدى Interlock ثغرة يوم صفر في أيديهم، مما منحهم أسبوعًا من التقدم لاختراق المؤسسات قبل حتى أن يعرف المدافعون عن وجودها.
ظهور مجموعة استغلال جديدة لـ iOS
شهدت أجهزة iPhone هجومًا جديدًا يستهدف المستخدمين عبر المواقع التصفح (watering hole attacks)، حيث استُخدمت مجموعة أدوات استغلال غير موثقة سابقًا لـ iOS تُعرف باسم DarkSword. بينما استهدفت بعض الهجمات مستخدمين في أوكرانيا، تم استخدام هذه المجموعة أيضًا من قبل مجموعتين أخريين استهدفت مستخدمين في المملكة العربية السعودية وتركيا وماليزيا.
جدير بالذكر أن هذه الاستغلالات لن تكون فعالة على الأجهزة التي يكون فيها وضع الإغلاق (Lockdown Mode) نشطًا أو على iPhone 17 مع تمكين فرض سلامة الذاكرة (MIE). استخدمت المجموعة ما مجموعه ست ثغرات في iOS لتسليم عائلات مختلفة من البرامج الضارة المصممة للمراقبة وجمع المعلومات. قامت Apple منذ ذلك الحين بمعالجة جميع هذه الثغرات.
تم تطوير DarkSword بالكامل بلغة JavaScript، وتتكون من ست ثغرات عبر سلسلتين من الاستغلال تم إصلاحها على مراحل. تحقق هذه المجموعة اختراقًا كاملاً لأجهزة iPhone باستخدام تقنيات أنيقة لم تُشاهد من قبل علنًا. اكتشاف DarkSword يجعله ثاني هجوم واسع النطاق يستهدف أجهزة iOS. ما هو أكثر من ذلك، أن الجهة الفاعلة الروسية التي نشرت DarkSword أظهرت ضعفًا في أمن العمليات، حيث تركت الكود الكامل بلغة JavaScript غير مشفر وغير محمي ويمكن الوصول إليه بسهولة. تشير الاكتشافات أيضًا إلى سوق ثانوي حيث يتم الحصول على هذه الاستغلالات من قبل الجهات الفاعلة في مجال التهديد ذات الدوافع المتنوعة لإصابة المستخدمين غير المصححين لأجهزة iOS على نطاق واسع.
برنامج Perseus المصرفي يستهدف أندرويد
يكشف برنامج أندرويد خبيث جديد عن نفسه كبرامج بث تلفزيوني، بهدف سرقة كلمات مرور المستخدمين وبياناتهم المصرفية والتجسس على ملاحظاتهم الشخصية. يُطلق على برنامج البرمجيات الخبيثة هذا اسم Perseus من قبل باحثين في ThreatFabric، ويتم توزيعه بنشاط في البرية ويستهدف في المقام الأول المستخدمين في تركيا وإيطاليا.
لإصابة الأجهزة، يقوم المهاجمون بإخفاء البرنامج الخبيث داخل تطبيقات تبدو أنها تقدم خدمات IPTV – وهي منصات تبث المحتوى التلفزيوني عبر الإنترنت. تُستخدم هذه التطبيقات أيضًا على نطاق واسع لبث المحتوى المقرصن، وغالبًا ما يتم تنزيلها خارج الأسواق الرسمية مثل Google Play، مما يجعل المستخدمين أكثر اعتيادًا على تثبيتها يدويًا وأقل عرضة لاعتبار العملية مشبوهة. بمجرد تثبيته، يمكن لـ Perseus مراقبة كل ما يفعله المستخدم تقريبًا في الوقت الفعلي. يستخدم هجمات التراكب (overlay attacks) – وضع شاشات تسجيل دخول مزيفة فوق التطبيقات الشرعية – وقدرات تسجيل ضغطات المفاتيح (keylogging) لالتقاط بيانات الاعتماد عند إدخالها. الميزة الأكثر غرابة للبرامج الضارة هي تركيزها على تطبيقات تدوين الملاحظات الشخصية. غالبًا ما تحتوي الملاحظات على معلومات حساسة مثل كلمات المرور أو عبارات الاسترداد أو التفاصيل المالية أو الأفكار الخاصة، مما يجعلها هدفًا قيّمًا للمهاجمين.
نقاط الضعف الحرجة (CVEs) الأكثر أهمية
تظهر ثغرات أمنية جديدة كل أسبوع، وتتضاءل الفترة الزمنية بين الكشف عنها واستغلالها باستمرار. تمثل الثغرات أدناه أهم نقاط الضعف هذا الأسبوع – عالية الخطورة، في برامج مستخدمة على نطاق واسع، أو تجذب بالفعل انتباه مجتمع الأمن.
تفحص هذه الثغرات أولاً، وأصلح ما ينطبق منها، ولا تنتظر عند الثغرات التي تم تمييزها كـ “عاجلة” – CVE-2026-21992 (Oracle)، CVE-2026-33017 (Langflow)، CVE-2026-32746 (GNU InetUtils telnetd)، CVE-2026-32297، CVE-2026-32298 (Angeet ES3 KVM)، CVE-2026-3888 (Ubuntu)، CVE-2026-20643 (Apple WebKit)، CVE-2026-4276 (LibreChat RAG API)، CVE-2026-24291 المعروفة بـ RegPwn (Microsoft Windows)، CVE-2026-21643 (Fortinet FortiClient)، CVE-2026-3864 (Kubernetes)، CVE-2026-32635 (Angular)، CVE-2026-25769 (Wazuh)، CVE-2026-3564 (ConnectWise ScreenConnect)، CVE-2026-22557، CVE-2026-22558 (Ubiquiti)، CVE-2025-14986 (Temporal)، CVE-2026-31381، CVE-2026-31382 (Gainsight Assist)، CVE-2026-26189 (Trivy)، CVE-2026-4439، CVE-2026-4440، CVE-2026-4441 (Google Chrome)، CVE-2026-33001، CVE-2026-33002 (Jenkins)، CVE-2026-21570 (Atlassian Bamboo Center)، و CVE-2026-21884 (Atlassian Crowd Data Center).
ندوات عبر الإنترنت حول الأمن السيبراني
- تعرف على كيفية أتمتة إدارة التعرض باستخدام OpenCTI & OpenAEV → اكتشف كيفية أتمتة الاختبار المستمر والمستنير بالتهديدات باستخدام أدوات مفتوحة المصدر مثل OpenCTI و OpenAEV للتحقق من ضوابط الأمان الخاصة بك ضد سلوك المهاجمين الحقيقي دون زيادة ميزانيتك. شاهد عرضًا توضيحيًا مباشرًا لكيفية التحقق من فعالية الأمان لديك، وتحديد الثغرات الحقيقية، ودمجها في سير عمل مركز عمليات الأمن (SOC) الخاص بك دون أي تكلفة إضافية.
- تحليل نضج الهوية في عام 2026: شاهد البيانات الجديدة + كيفية اللحاق بالركب بسرعة → تخضع برامج الهوية لضغوط هائلة في عام 2026 – فالتطبيقات المنفصلة، والوكلاء الذكاء، وانتشار بيانات الاعتماد تخلق مخاطر حقيقية وتحديات تدقيق. انضم إلى هذه الندوة عبر الإنترنت لمعرفة أبحاث جديدة من معهد Ponemon لعام 2026 لأكثر من 600 قائد، توضح حجم المشكلة والخطوات العملية لسد الثغرات، وتقليل الاحتكاك، واللحاق بالركب بسرعة.
حول العالم السيبراني
- واتساب يختبر أسماء المستخدمين بدلاً من أرقام الهواتف ← تخطط واتساب لتقديم أسماء مستخدمين ومعرفات فريدة بدلاً من أرقام الهواتف، مما يسمح للمستخدمين بإرسال الرسائل وإجراء المكالمات الصوتية أو المرئية دون مشاركة أرقامهم. من المتوقع إطلاق الميزة الاختيارية للخصوصية عالميًا بحلول يونيو 2026، حيث يمكن للمستخدمين والشركات حجز أسماء مستخدم فريدة. “نحن متحمسون لتقديم أسماء المستخدمين إلى واتساب في المستقبل لمساعدة الأشخاص على التواصل مع الأصدقاء والمجموعات والشركات الجديدة دون الحاجة إلى مشاركة أرقام هواتفهم،” قالت الشركة في بيان. كانت الميزة قيد الاختبار منذ أوائل يناير 2026. قدمت Signal ميزة مماثلة في أوائل عام 2024.
- مكتب التحقيقات الفيدرالي يفصل مراكز الاحتيال في جنوب شرق آسيا ← كشف مكتب التحقيقات الفيدرالي الأمريكي (FBI) عن جهوده بالتعاون مع السلطات التايلاندية لإغلاق مراكز الاحتيال المنتشرة في جنوب شرق آسيا. توصف هذه المخططات، التي تستهدف بشكل أساسي المتقاعدين وأصحاب الأعمال الصغيرة والأشخاص الباحثين عن الصحبة، بأنها مزيج من الاحتيال السيبراني وغسيل الأموال والاتجار بالبشر، مما يتسبب في خسائر تصل إلى مليارات الدولارات سنويًا. تعمل هذه المراكز الاحتيالية بطريقة مشابهة للشركات الشرعية. “يعلن المجندون عن وظائف ذات رواتب عالية في الخارج. يتم نقل العمال إلى بلدان أجنبية ليكتشفوا أن الوظائف غير موجودة،” قال مكتب التحقيقات الفيدرالي. “يتم مصادرة جوازات السفر. يقوم حراس مسلحون بدوريات في المنطقة. تحت تهديد العنف، يُجبر العمال على التظاهر بأنهم شركاء رومانسيون محتملون أو مستشارون استثماريون ذوو خبرة، لكسب ثقة الضحايا على مدى أسابيع أو أشهر.” أدت حملات القمع الأخيرة في بلدان مثل كمبوديا إلى تحرير آلاف العمال من مجمعات الاحتيال، لكن مكتب التحقيقات الفيدرالي حذر من أن هذه الانتصارات قد تكون مؤقتة، حيث تميل الشبكات الإجرامية دائمًا إلى الانتقال أو إعادة تسمية نفسها أو تغيير تكتيكاتها استجابة لأعمال إنفاذ القانون.
- خادم APT28 المكشوف يسرب حمولة SquirrelMail XSS ← كشف مجلد مفتوح ثانٍ تم اكتشافه على خادم (“203.161.50[.]145”) مرتبط بـ APT28 (المعروف أيضًا باسم Fancy Bear) عن رؤى حول حملات التجسس التي يقوم بها الفاعل السيبراني ضد المنظمات الحكومية والعسكرية في أوكرانيا ورومانيا وبلغاريا واليونان وصربيا ومقدونيا الشمالية. وفقًا لـ Ctrl-Alt-Intel، احتوى المجلد على شفرة مصدرية لخوادم القيادة والتحكم (C2)، وبرامج نصية لسرقة رسائل البريد الإلكتروني، وبيانات الاعتماد، ودفاتر العناوين، ورموز المصادقة الثنائية (2FA) من صناديق بريد Roundcube، وسجلات القياس عن بعد، وبيانات تم استخراجها. تتكون البيانات المسروقة من 2870 رسالة بريد إلكتروني من صناديق بريد حكومية وعسكرية، و 244 مجموعة من بيانات الاعتماد المسروقة، و 143 قاعدة إعادة توجيه Sieve (لإعادة توجيه كل رسالة واردة بصمت إلى صندوق بريد يتحكم فيه المهاجم)، و 11527 عنوان بريد إلكتروني جهة اتصال. إحدى الأدوات المحددة حديثًا هي حمولة XSS تستهدف برنامج البريد الإلكتروني عبر الويب SquirrelMail، مما يسلط الضوء على التركيز المستمر للفاعل السيبراني على استغلال ثغرات XSS لسرقة البيانات من صناديق بريد البريد الإلكتروني. وتجدر الإشارة إلى أن الخادم تم عزوه إلى APT28 من قبل فريق الاستجابة للطوارئ الحاسوبية في أوكرانيا (CERT-UA) في وقت مبكر من سبتمبر 2024. “طور Fancy Bear مجموعة أدوات استغلال نمطية ومتعددة المنصات حيث يمكن لضحية فتح بريد إلكتروني خبيث ببساطة – دون أي نقرات إضافية – أن يؤدي إلى سرقة بيانات الاعتماد الخاصة بهم، وتجاوز المصادقة الثنائية الخاصة بهم، واستخراج رسائل البريد الإلكتروني داخل صندوق البريد الخاص بهم، وإنشاء قاعدة إعادة توجيه صامتة تستمر إلى أجل غير مسمى،” قال Ctrl-Alt-Intel.
- تحليل خادم Beast ransomware ← كشف تحليل لمجلد مفتوح على خادم (“5.78.84[.]144”) مرتبط بـ Beast، وهو برنامج فدية كخدمة (RaaS) يُشتبه في أنه خليفة لبرنامج Monster ransomware، عن الأدوات المختلفة التي يستخدمها الجهات الفاعلة في مجال التهديد والمراحل المختلفة لدورة حياة هجومهم. وشملت هذه الأدوات Advanced IP Scanner و Advanced Port Scanner لتعيين الشبكات الداخلية والعثور على منافذ بروتوكول سطح المكتب البعيد (RDP) أو كتلة الخادم (SMB) المفتوحة. كما تم تحديد برامج لتحديد مواقع الملفات الحساسة للاستخراج ووضع علامة على الخوادم التي تحتوي على أكبر قدر من البيانات، بالإضافة إلى Mimikatz و LaZagne و Automim (لجمع بيانات الاعتماد)، و AnyDesk (للاستمرارية)، و PsExec (للحركة الجانبية)، و MEGASync (لاستخراج البيانات). توقفت عمليات Beast ransomware مؤقتًا في نوفمبر 2025 واستؤنفت في يناير 2026.
- GrapheneOS تعارض مبادرة المصادقة الموحدة (Unified Attestation) ← عارضت GrapheneOS بشدة مبادرة المصادقة الموحدة، مشيرة إلى أنها “لا تخدم أي غرض مفيد حقًا بخلاف منح نفسها ميزة غير عادلة مع التظاهر بأن لها علاقة بالأمان.” مبادرة المصادقة الموحدة هي بديل مفتوح المصدر وغير مركزي لواجهة برمجة تطبيقات Google Play Integrity API لتوفير فحوصات سلامة الجهاز والتطبيق لأنظمة التشغيل المخصصة (custom ROMs) دون الحاجة إلى خدمات Google Play. “نحن نعارض بشدة مبادرة المصادقة الموحدة وندعو مطوري التطبيقات الذين يدعمون الخصوصية والأمان والحرية على الهاتف المحمول لتجنبها،” قالت GraphenseOS. “لا ينبغي للشركات التي تبيع الهواتف أن تقرر أي أنظمة تشغيل يُسمح للأشخاص باستخدامها للتطبيقات.”
- VoidStealer يستخدم مصحح Chrome لسرقة الأسرار ← لاحظ برنامج سرقة المعلومات المعروف باسم VoidStealer أنه يستخدم تقنية جديدة لتجاوز تشفير التطبيقات المقيد (Application-Bound Encryption – ABE) تعتمد على مصححات الأخطاء (hardware breakpoints) لاستخراج “v20_master_key” مباشرة من ذاكرة المتصفح واستخدامه لفك تشفير البيانات الحساسة المخزنة في المتصفح. VoidStealer هو برنامج خبيث كخدمة (MaaS) لسرقة المعلومات، بدأ تسويقه في العديد من منتديات الويب المظلم في منتصف ديسمبر 2025. تم تقديم تقنية تجاوز ABE في الإصدار 2.0 من برنامج السرقة الذي تم الإعلان عنه في 13 مارس 2026. “لا يتطلب هذا التجاوز أي تصعيد في الأذونات أو حقن للكود، مما يجعله نهجًا أكثر سرية مقارنة بطرق تجاوز ABE البديلة،” قالت Gen Digital. يُقدر أن VoidStealer قد تبنى هذه التقنية من مشروع ElevationKatz مفتوح المصدر.
- مكتب التحقيقات الفيدرالي يقول إنه يشتري بيانات مواقع الأمريكيين ← اعترف مدير مكتب التحقيقات الفيدرالي كاش باتيل بأن الوكالة تشتري بيانات مواقع يمكن استخدامها لتتبع تحركات الأشخاص دون أمر قضائي. “نحن بالفعل نشتري معلومات متاحة تجاريًا تتفق مع الدستور والقوانين بموجب قانون خصوصية الاتصالات الإلكترونية، وقد أدى ذلك إلى بعض المعلومات الاستخباراتية القيمة لنا،” قال باتيل في جلسة استماع أمام لجنة الاستخبارات بمجلس الشيوخ.
- شبكة بوت نت إيرانية مكشوفة عبر مجلد مفتوح ← تم العثور على مجلد مفتوح على “185.221.239[.]162:8080” يحتوي على حمولات متعددة، بما في ذلك برنامج نصي لشبكة بوت نت قائم على Python، وثنائي مجمع لشن هجمات DDoS، وملفات متعددة لرفض الخدمة مكتوبة بلغة C، وعناوين IP مرتبطة ببيانات اعتماد SSH. “يقرأ البرنامج النصي Python المسمى ohhhh.py بيانات الاعتماد بتنسيق host:port|username|password ويفتح 500 جلسة SSH متزامنة، ويدمج ويطلق عميل البوت نت على كل مضيف تلقائيًا،” قال Hunt.io. “التقط السجل .bash_history المكشوف ثلاث مراحل متميزة من العمل: إعداد شبكة النفق، وبناء واختبار أدوات DDoS ضد أهداف حية، وتطوير شبكة البوت نت التكراري عبر إصدارات نصية متعددة.” لم يتم ربط النشاط بأي حملة موجهة من قبل دولة.
- مطورو OpenClaw يقعون في هجوم تصيد ← جعلت مرونة OpenClaw والتحكم المحلي بها ونظامها البيئي سريع النمو شعبيتها بين المطورين في فترة قصيرة جدًا. في حين أن سرعة التبني غير المسبوقة هذه قد عرّضت المؤسسات لمخاطر أمنية جديدة خاصة بها (أي، الثغرات الأمنية ووجود مهارات ضارة في ClawHub و SkillsMP)، فإن الجهات الفاعلة في مجال التهديد تستفيد أيضًا من اسم العلامة التجارية وسمعتها لإنشاء حسابات GitHub مزيفة لحملة تصيد احتيالي تجذب المطورين المطمئنين بوعود رموز $CLAW مجانية وتخدعهم لربط محافظ العملات المشفرة الخاصة بهم. “ينشئ الفاعل السيبراني حسابات GitHub مزيفة، ويفتح سلاسل قضايا (issue threads) في مستودعات يتحكم فيها المهاجم، ويضع علامات على عشرات مطوري GitHub،” قال باحثو OX Security موشيه سيمان توف بوستان ونير زادوك. “تدعي المشاركات أن المستلمين قد فازوا بـ 5000 دولار من رموز CLAW ويمكنهم مطالبتها عن طريق زيارة موقع مرتبط وربط محفظة العملات المشفرة الخاصة بهم.” الموقع المرتبط (“token-claw[.]xyz”) هو نسخة متطابقة تقريبًا من openclaw.ai تم تزويدها بزر “Connect your wallet” لسحب العملات المشفرة.
- حملة جديدة تستهدف موظفي العمليات في قطاع الطاقة في باكستان ← استغلت حملة مستهدفة لموظفي العمليات في شركات الطاقة المرتبطة بمشاريع في باكستان رسائل بريد إلكتروني للتصيد الاحتيالي تحاكي دعوات لحضور معرض ومؤتمر الطاقة الباكستاني القادم (PEEC). تهدف الرسائل، المرسلة من حسابات مخترقة من جامعة باكستانية ومنظمة حكومية، إلى خداع الضحايا لفتح مرفقات PDF مع مطالبة مزيفة بتحديث Adobe Acrobat Reader. يؤدي النقر على التحديث إلى تنزيل مورد تطبيق ClickOnce يقوم بتسليم إطار عمل Havoc Demon C2. “تم أيضًا تغليف سلسلة إعادة التوجيه بالجيو-فencing (geofencing) وبصمة المتصفح، مما يحد من الوصول إلى الأهداف المقصودة،” قالت Proofpoint. “من المحتمل أن هذا قلل من التعرض للتحليل الآلي مع الحفاظ على نطاق مسار التسليم ضيقًا.” تم تسمية النشاط UNK_VaporVibes. ويُقدر أنه يتشارك مع النشاط المرتبط علنًا بـ SloppyLemming.
- أكثر من 373 ألف موقع على الويب المظلم تحت الأضواء ← أعلنت وكالات إنفاذ القانون الدولية عن تفكيك واحدة من أكبر شبكات المنصات الاحتيالية المعروفة على الويب المظلم، وكشفت عن مئات الآلاف من المواقع المزيفة المستخدمة لخداع المستخدمين الذين يبحثون عن محتوى اعتداء جنسي على الأطفال. قامت عملية دولية استمرت 10 أيام بقيادة السلطات الألمانية وبدعم من اليوروبول بإغلاق أكثر من 373 ألف نطاق على الويب المظلم يديرها رجل يبلغ من العمر 35 عامًا مقيم في الصين، والذي كان يدير شبكة متشعبة من المنصات الاحتيالية منذ عام 2021 على الأقل. بينما أعلنت المواقع عن مواد اعتداء على الأطفال وعروض جرائم إلكترونية كخدمة، لم يتم تسليم أي شيء فعليًا بعد قيام الضحايا بالدفع بالبيتكوين. حقق المخطط الاحتيالي للمشغل ما يقدر بـ 345 ألف يورو من حوالي 10 آلاف شخص. شاركت السلطات من 23 دولة في العملية، وحددت منذ ذلك الحين 440 عميلاً تخضع مشترياتهم حاليًا للتحقيق.
- حزم npm الضارة تسرق الأسرار ← تم العثور على حزمتين npm ضارتين، sbx-mask و touch-adv، لسرقة الأسرار من أجهزة الضحايا. بينما تستدعي إحداهما الكود الضار عبر البرنامج النصي postinstall، تنفذ الأخرى الكود عند استدعاء شفرة التطبيق بواسطة المطور بعد استيرادها. “الأدلة تشير بقوة إلى الاستيلاء على حساب ناشر شرعي، بدلاً من نشاط خبيث متعمد،” قالت Sonatype. “تُعد حسابات الناشرين المختطفة مقلقة بشكل خاص، حيث يبني المشرفون بمرور الوقت الثقة مع مستخدمي مكوناتهم. يهدف المهاجمون إلى الاستفادة من تلك الثقة لسرقة معلومات قيمة أو مربحة.”
- الصين ستتمتع بتشفير ما بعد الكم (Post-Quantum Cryptography) الخاص بها في 3 سنوات ← تخطط الصين لتطوير معايير وطنية خاصة بها لتشفير ما بعد الكم في غضون السنوات الثلاث المقبلة، وفقًا لتقرير من رويترز. انتهت الولايات المتحدة من مجموعتها الأولى من معايير تشفير ما بعد الكم في عام 2024 وتهدف إلى تحقيق انتقال كامل للصناعة بحلول عام 2035.
- ماذا بعد Tycoon2FA؟ ← قامت عملية إنفاذ قانون حديثة بتفكيك البنية التحتية المرتبطة بمنصة Tycoon2FA للصيد الاحتيالي كخدمة (PhaaS). ومع ذلك، يكشف تحليل جديد من Bridewell أن بعض صفحات CAPTCHA الخاصة بالصيد الاحتيالي للمصادقة الثنائية لا تزال نشطة. يعود النشاط المستمر، كما لاحظت شركة الأمن السيبراني، إلى حقيقة أن هذه الصفحات تعمل على شبكة ضخمة من المواقع التابعة لجهات خارجية تم اختراقها، ومنصات SaaS الشرعية، وعشرات الآلاف من النطاقات ذات الاستخدام الواحد. “المشغلون والمنتسبون يتمتعون بمرونة عالية وسيحاولون إعادة البناء، أو الانتقال إلى بنى تحتية جديدة، أو التحول إلى منصات PhaaS منافسة،” مضت الشركة. “قد تنتمي صفحات CAPTCHA الحية التي نراها إلى منتسبين إجراميين ناجين يحاولون الحفاظ على حملاتهم الفردية حية على شبكات وكيل ثانوية.”
أدوات الأمن السيبراني
- MESH → هي أداة مفتوحة المصدر من BARGHEST تمكن من الاستجابة الجنائية المتنقلة عن بعد ومراقبة الشبكة عبر شبكة تشفير مشابهة (mesh network) مقاومة للرقابة. إنها تربط أجهزة Android/iOS خلف جدران الحماية أو CGNAT باستخدام بروتوكول معدل مشابه لـ Tailscale (لا حاجة للخوادم المركزية)، وتدعم تصحيح أخطاء ADB لاسلكيًا، و libimobiledevice، والتقاط PCAP، و Suricata IDS – مما يسمح بالوصول المباشر والآمن للاستحواذ المنطقي الحي في بيئات مقيدة أو معادية.
- enject → إنها أداة Rust خفيفة الوزن تحمي أسرار .env من المساعدين الذكاء مثل Copilot أو Claude. تقوم باستبدال القيم الحقيقية في ملف .env الخاص بك بمؤشرات (placeholders) (على سبيل المثال، en://api_key). تبقى الأسرار مشفرة في مخزن لكل مشروع (AES-256-GCM، محمي بكلمة مرور رئيسية). عندما تقوم بتشغيل enject run —
، فإنها تقوم بفك تشفيرها فقط في الذاكرة أثناء وقت التشغيل، ثم تمسحها – دون ترك نص عادي على القرص مطلقًا. مفتوحة المصدر، تعمل على macOS/Linux، مثالية للتطوير المحلي الآمن.
إخلاء مسؤولية: للبحث والاستخدام التعليمي فقط. لم يتم تدقيقها من ناحية الأمان. راجع جميع التعليمات البرمجية قبل الاستخدام، واختبر في بيئات معزولة، وتأكد من الامتثال للقوانين المعمول بها.
خاتمة
وهذا هو ملخص الأسبوع. النمط الحقيقي ليس قصة واحدة؛ إنه الفجوة. الفجوة بين الخطأ والكشف. بين التصحيح والنشر. بين المعرفة والفعل. معظم الأضرار التي حدثت هذا الأسبوع وقعت في تلك الفجوة، وهذا ليس بالأمر الجديد.
قبل المتابعة: قم بتحديث أجهزتك المحمولة، راجع أي شيء يلامس خط أنابيب CI/CD الخاص بك، ولا تخزن عبارات استرداد محفظة العملات المشفرة في تطبيقات الملاحظات.