كشفت فرق تطوير محرر الأكواد الشهير Notepad++ عن تعرض بنيتها التحتية للتحديثات لهجوم سيبراني معقد، مؤكدةً تعرض المستخدمين لخطر تنزيل برمجيات خبيثة عبر قنوات التحديث الرسمية. وقع الحادث الأمني الذي يتعلق بـ سلسلة توريد البرمجيات، بين شهري يونيو وسبتمبر 2025.
تُعد هذه الواقعة بمثابة تنبيه هام للمؤسسات والمطورين حول العالم، حيث استغل قراصنة ماهرون ثغرة في البنية التحتية لموفر استضافة، مما سمح لهم بالتسلل إلى أنظمة Notepad++ الداخلية والبقاء فيها حتى ديسمبر 2025 دون اكتشاف.
الهجوم على سلسلة توريد Notepad++
الهدف الرئيسي من هذه العملية المعقدة هو نشر برمجيات خبيثة تستهدف أفراداً ومؤسسات محددة. وأظهر المهاجمون مستوى عالٍ من الاحترافية من خلال تغيير عناوين خوادم القيادة والتحكم، وأدوات التنزيل، والحمولات الخبيثة بشكل مستمر بين شهري يوليو وأكتوبر 2025، مما صعّب عملية الكشف والتحليل.
وفقًا لتقرير نشرته شركة Securelist، فقد استهدف هذا الهجوم ما يقرب من اثني عشر جهازًا في دول مثل فيتنام، والسلفادور، وأستراليا، بالإضافة إلى منظمات في الفلبين وفيتنام. كما أشارت التحقيقات إلى إمكانية استهداف مزود خدمات تكنولوجيا المعلومات في فيتنام.
تقنيات متطورة في الهجوم
تمكن محللو Securelist من تحديد ثلاث سلاسل إصابة متميزة، كل منها تتميز بخصائص فنية وتقنيات مراوغة فريدة. تم استخدام أدوات مثل Metasploit downloaders و Cobalt Strike Beacon payloads، بالإضافة إلى باب خلفي مخصص يُعرف باسم Chrysalis، في مراحل لاحقة لهذه الهجمات.
وعلى الرغم من تنوع البرمجيات الخبيثة المستخدمة، نجحت حلول الأمن السيبراني التي طورتها Kaspersky في صد الهجمات المكتشفة فور وقوعها، مما يدل على فعالية الاستجابة الأمنية المبنية على التحليل الدقيق.
المنهجية التقنية للهجوم
بدأت أولى سلاسل الإصابة في أواخر يوليو 2025، حيث لجأ المهاجمون إلى توزيع مثبت NSIS خبيث عبر البنية التحتية المخترقة لتحديثات Notepad++. عند تشغيل ملف update.exe المخرب بواسطة عملية التحديث الشرعية، كان يقوم فورًا بإرسال معلومات استطلاع للنظام إلى خوادم يتحكم بها المهاجمون، مستخدمين خدمة استضافة الملفات temp.sh.
وتضمنت المعلومات التي يتم جمعها أوامر shell لتحديد اسم المستخدم، والعمليات قيد التشغيل، ومعلومات النظام، واتصالات الشبكة، قبل تحميل النتائج باستخدام أوامر curl معدة بعناية. وقد تجنب المهاجمون تقنية DLL sideloading الشائعة، وبدلًا من ذلك، استغلوا ثغرة قديمة في برنامج ProShow، مما ساعدهم على التسلل دون أن تكتشفهم أنظمة الكشف الحديثة.
تضمنت الحمولات الرئيسية للهجوم shellcodes، حيث استُخدم الأول كـ “حشو” لإرباك أنظمة التحليل الآلي، والثاني لفك تشفير Metasploit downloader الذي يتصل بخوادم بعيدة لجلب shellcode الخاص بـ Cobalt Strike Beacon.
كيفية الكشف والتصدي
يمكن للفرق الأمنية اكتشاف هذا النوع من التهديدات من خلال مراقبة عمليات نشر مثبتات NSIS، والتحقق من سجلات إنشاء دليل %localappdata%Tempns.tmp. بالإضافة إلى ذلك، يُنصح المدققون بفحص حركة مرور الشبكة بحثًا عن استعلامات DNS غير طبيعية للنطاق temp.sh.
من المهم أيضًا فحص سجلات النظام بحثًا عن أوامر استطلاع مثل whoami، tasklist، systeminfo، و netstat. يمكن لتبني قواعد الكشف السلوكي لتعديلات التشغيل التلقائي في سجل ويندوز (registry autorun modifications)، ومراقبة الاتصالات بخدمات القيادة والتحكم “Living-Off-the-Land” أن تعزز بشكل كبير من القدرة على الدفاع ضد اختراقات سلسلة توريد برمجيات مماثلة.