ملخص تهديدات الأمن السيبراني02-12-2025

يوم حافل بحملات برمجيات خبيثة تستغل إضافات ومكونات موثوقة، وتصيد بملفات وتحديثات مزيفة، إلى جانب ثغرات حرجة تمس منصات وأجهزة واسعة الانتشار. كما برز اختراق بيانات واسع في قطاع التعليم، وتكتيكات متقدمة للتخفي والتسلل داخل المؤسسات.

برمجيات خبيثة وسلاسل توريد

• إضافات كروم وإيدج: حملة استمرت 7 سنوات نُسبت إلى ShadyPanda أصابت أكثر من 4.3 مليون مستخدم عبر تحديثات خبيثة لإضافات تبدو شرعية، مع مراقبة كاملة وسرقة بيانات وتنفيذ عن بُعد، وإرسال المعلومات إلى خوادم في الصين. بعض الإضافات ما زالت متاحة في متجر Edge. المتأثرون من ثبت Clean Master أو WeTab أو إضافات إنتاجية مشبوهة من Starlab Technology.
• إضافات VS Code: حملة Glassworm استهدفت مطوري VS Code عبر إضافات خبيثة في OpenVSX وMicrosoft Marketplace، تخفي شيفرة ضارة برموز يونيكود غير مرئية وتسرق حسابات GitHub وnpm وOpenVSX ومحافظ العملات، وتنشئ وكيل SOCKS وتثبت HVNC للوصول الخفي. تم رصد 24 إضافة جديدة مع تقنيات منها Rust.
• اختراق SmartTube على أندرويد TV: إصدار خبيث بُث للمستخدمين بعد توقيع التطبيق بمفاتيح مطوّر مخترقة ودمج مكتبة خبيثة باسم libalphasdk.so لجمع معلومات الجهاز وإرسالها عبر قناة مشفرة. يُنصح بتجنب الإصدارات المصابة خاصة 30.51.

مؤشرات فنية

• api.extensionplay[.]com، trovi.com
• iconkieftwo.icon-theme-materiall، prisma-inc.prisma-studio-assistance، flutcode.flutter-extension، yamlcode.yaml-vscode-extension، saoudrizvsce.claude-devsce، vitalik.solidity
• libalphasdk.so

توصيات

• تحقق من الإضافات المثبتة في المتصفح وVS Code واحذف أي إضافة مشبوهة، ولا تثق بعدد التحميلات فقط.
• أعد ضبط المتصفح عند الاشتباه، وافحص الجهاز ببرنامج حماية محدث.
• فعّل المصادقة الثنائية على الحسابات المطوّرة وغيّر كلمات المرور إذا استخدمت إضافات من القائمة.
• احذف SmartTube فورًا إذا كان الإصدار حديثًا، عطّل التحديث التلقائي، ولا تسجّل الدخول بالحسابات الأساسية، وغيّر كلمة مرور Google وتحقق من الأنشطة.

تصيّد وهجمات بتحديثات وملفات مزيفة

• KimJongRAT عبر ملفات HTA: رسائل تصيّد تحمل ملفًا مضغوطًا tax_notice.zip يحتوي اختصار LNK متنكرًا باسم «National Tax Notice.pdf». عند الفتح تُنفّذ mshta ملف HTA خبيث لتنزيل حمولة تجمع معلومات النظام والمتصفح والمفاتيح والمحافظ وحسابات تيليجرام وديسكورد وتعدّل السجلات لضمان البقاء. تتبدل الحمولة بحسب حالة Windows Defender.
• حملة ClickFix: صور و«تحديثات ويندوز» مزيفة تخدع الضحايا لتنزيل برمجيات تسرق المعلومات أو تمنح تحكمًا عن بُعد.

مؤشرات فنية

• Trojan.Agent.LlhK.Gen، Trojan.Downloader.VBS.Agent

توصيات

• حدّث ويندوز وWindows Defender فورًا، وفعّل عرض امتدادات الملفات.
• تجنب فتح ملفات مضغوطة أو ملفات .lnk و.hta من مصادر مجهولة، ولا تثق بإشعارات تحديث غير رسمية.
• افحص الأجهزة ببرنامج حماية محدث، وحدّث النظام من القنوات الرسمية فقط.

تهديدات وثغرات على أندرويد

• Albiriox على أندرويد: تروجان بنكي يُباع كخدمة يستهدف أكثر من 400 تطبيق مالي وبنكي، يمنح المهاجمين تحكمًا كاملاً بالجهاز، ينفّذ عمليات مالية ويتجاوز التحقق بخطوتين مستغلاً خدمات إمكانية الوصول وشاشات وهمية. ينتشر عبر تطبيقات مزيفة وروابط تصيّد خارج متجر Google Play.
• تحديث أمني لأندرويد: معالجة 107 ثغرة بينها اثنتان قيد الاستغلال CVE-2025-48633 لتسريب معلومات وCVE-2025-48572 لتصعيد الصلاحيات، وثغرة حرجة لحجب الخدمة CVE-2025-48631. يشمل إصلاحات لمكونات النظام والنواة ومعالجات MediaTek وUnisoc وQualcomm وARM.

توصيات

• لا تثبّت إلا من المتجر الرسمي، وراجع الأذونات، وفعّل التحقق بخطوتين ويفضل استخدام تطبيقات أو مفاتيح أمان.
• حدّث جهاز أندرويد فور توفر تحديث ديسمبر 2025 من الشركة المصنعة، وافحص الجهاز إذا لاحظت نشاطًا غريبًا.

ثغرات ومنصات مؤسسية

• كوالكوم: ست ثغرات خطيرة أبرزها CVE-2025-47372 التي تسمح بتجاوز فحوصات الأمان في الإقلاع الآمن وتثبيت برمجيات قبل بدء النظام. ثغرات أخرى تمس أنظمة التشغيل وTZ والصوت والخدمات الرقمية والكاميرا. قائمة الثغرات: CVE-2025-47372 CVE-2025-47319 CVE-2025-47325 CVE-2025-47323 CVE-2025-47350 CVE-2025-47387، والتحديثات متاحة للمصنّعين.
• بروتوكول MCP: مخاطر عند التعامل معه كـ API عادي، منها عدم إمكانية تثبيت إصدار محدد للسيرفر بما يتيح حقن تعليمات خبيثة لاحقًا «rug pull»، وثغرات حقن تعليمات في MCP سيرفرات GitHub وAtlassian، واستمرار تعرض Microsoft Copilot. ضعف الحوكمة يؤدي لتشغيل خوادم MCP غير مراقبة قد تسرب بيانات حساسة أو رموز وصول.

توصيات

• تواصل مع الشركة المصنعة للجهاز للتحقق من توفر تحديثات كوالكوم وتثبيتها فورًا.
• أنشئ سجلًا داخليًا لخوادم MCP والموافقة عليها قبل الاستخدام، وفعّل OAuth 2.1 مع PKCE وتدوير الرموز دوريًا.
• راقب أسماء الأدوات داخل MCP لمنع تقليد الأدوات، واحصر الوصول وفعّل الحوكمة والمراجعة الدورية للخوادم والعملاء.

اختراقات وتقنيات تسلل للمؤسسات

• خرق Illuminate Education: تسريب بيانات 10.1 مليون طالب في ديسمبر 2021 بعد استغلال بيانات دخول موظف سابق للوصول إلى قاعدة بيانات لدى مزود سحابي. البيانات شملت عناوين بريد إلكتروني وعادي وتواريخ ميلاد وسجلات طلاب ومعلومات صحية. لم تُعالج تحذيرات ضعف الأمان منذ 2020 واحتُفظ بالبيانات بنص واضح حتى 2022، وتأخر إخطار بعض المدارس لنحو عامين.
• استغلال أدوات ويندوز المدمجة: مهاجمون يستخدمون PowerShell وWMI وcertutil.exe للتخفي وتجاوز أنظمة الحماية، بقدرات على التحرك داخل الشبكة وسرقة بيانات الدخول وتحميل ملفات خبيثة وتثبيت وصول دائم، فيما تعاني حلول EDR في التمييز بين الاستخدام المشروع والضار.
• احتيال الموظفين المزيفين: مجرمون ينتحلون هويات موظفي أمن سيبراني وتقنية معلومات بهويات وسير مزيفة وتقنيات ذكاء اصطناعي لاجتياز مقابلات عن بُعد، بهدف سرقة بيانات العملاء والأموال والتجسس وزرع برمجيات خبيثة أو الابتزاز. رُصدت حملات من كوريا الشمالية تستهدف شركات التقنية.

توصيات

• إذا كنت تستخدم خدمات Illuminate Education فراقب الرسائل ومحاولات التصيّد وفكّر بتغيير كلمات المرور.
• فعّل تسجيل أوامر PowerShell وتحليلها، راقب نشاط WMI والمهام المجدولة، وطبّق سياسات السماح للتطبيقات، وفعّل المصادقة الثنائية للعمليات الحساسة، ودرب الموظفين على حماية بيانات الدخول.
• اعتمد تحققًا متعدد الطبقات لهويات المتقدمين، وافحص الخلفيات والملفات الرقمية، وقيّد صلاحيات الموظفين الجدد تدريجيًا، وفعّل MFA لجميع الأنظمة وراقب سلوك المستخدمين لرصد الشذوذ.