ملخص تهديدات الأمن السيبراني13-01-2026

يوم حافل بثغرات حرجة واستغلالات نشطة امتدت من منصات تطوير وخوادم أتمتة إلى إضافات ووردبريس وأطر عمل ويب، تزامن مع حملات تصيّد واحتيال متقدمة وبرمجيات خبيثة تستهدف مؤسسات وأفراد. فيما يلي أبرز التهديدات والإجراءات العاجلة.

الثغرات والاستغلالات

  • GeoServer (CVE-2024-36401): تنفيذ أوامر عن بُعد لنشر برمجيات تعدين عبر PowerShell/Bash وcertutil؛ رُصدت حملات تستخدم XMRig وتخفي التعدين كملفات Java أو خدمات ويندوز مع استخدام AnyDesk ومحاولات تعطيل Windows Defender.
  • Apache Struts 2 (CVE-2025-68493): ثغرة XXE في XWork تتيح قراءة ملفات محلية، SSRF، وهجمات رفض الخدمة.
  • jsPDF (CVE-2025-68428): قراءة تعسفية لملفات الخادم في Node.js عبر ضعف التحقق في الدالة loadFile() قبل الإصدار 4.0.0.
  • إضافة Atarim لووردبريس (CVE-2025-60188): تجاوز المصادقة بسبب ضعف HMAC؛ استخراج site_id عبر REST API وتوقيع طلبات للوصول لإجراءات إدارية وكشف بيانات.
  • Gogs (CVE-2025-8110): تجاوز حدود المسارات في PutContents عبر روابط رمزية يسمح بالكتابة خارج المستودع وتنفيذ أوامر؛ تم استغلاله ضد مئات الخوادم.
  • n8n (CVE-2026-21858): ثغرة شديدة الخطورة ‘Ni8mare’ تمكّن مهاجمًا غير موثوق من الوصول للملفات أو تنفيذ أوامر على خوادم مكشوفة.
  • تيليجرام: فتح روابط بروكسي معدّة يكشف عنوان IP الحقيقي بسبب اتصال تلقائي بسيرفر البروكسي قبل إضافته.
  • HPE OneView وPowerPoint قديم: تحذير من هجمات نشطة تستغل ثغرات معروفة في هذه المنتجات غير المحدّثة.
  • واجهات نماذج الذكاء الاصطناعي: حملات استكشافية وهجمات عبر React2Shell CVE-2025-55182 وثغرة TP-Link CVE-2023-1389 وهجمات SSRF في وظائف السحب (Ollama) وتكامل رسائل Twilio.
  • إنستجرام: ثغرة سمحت بطلب رسائل إعادة تعيين كلمة المرور دون اختراق الحسابات؛ تم الإصلاح وتزامن الأمر مع تسريب بيانات كبير شمل 17.5 مليون حساب.

توصيات

  • تحديث فوري لمنتجات GeoServer، Struts (إلى 6.1.1 أو أحدث)، jsPDF (4.0.0+)، Atarim، Gogs، n8n، وأنظمة HPE OneView وPowerPoint.
  • تعطيل الكيانات الخارجية في تحليلات XML، وتقييد نقاط النهاية العامة في n8n، ومراجعة صلاحيات واجهات REST.
  • تقييد الاتصالات الصادرة من خوادم النماذج، قبول مصادر موثوقة فقط، ومراقبة أنماط الاستفسارات الشاذة.
  • تجنّب فتح روابط بروكسي مجهولة في تيليجرام، واستخدام VPN عند الحاجة.

التسريبات والفدية

  • BreachForums: تسريب بيانات لنحو 324,000 حساب (بريد إلكتروني، أسماء مستخدمين، كلمات مرور مشفّرة Argon2) بعد تخزين قاعدة البيانات في مجلد غير آمن خلال استعادة أغسطس 2025، ونشرها لاحقًا على shinyhunte[.]rs.
  • نيسان: مجموعة Everest تزعم سرقة 900 جيجابايت من بيانات داخلية وتلوّح بنشرها خلال خمسة أيام؛ لا تعليق رسمي حتى الآن.

توصيات

  • تغيير كلمات المرور وتمكين المصادقة الثنائية؛ تجنّب إعادة استخدام كلمات المرور بين الخدمات.
  • مراقبة محاولات التصيّد والانتحال المرتبطة باسم الشركة المستهدفة، ومراجعة السجلات لأي وصول غير معتاد.

التصيّد والاحتيال

  • OPCOPRO: عملية احتيال تبدأ برسائل SMS وانتقال إلى مجموعات واتساب بهويات مولّدة بالذكاء الاصطناعي؛ تدفع الضحية لتثبيت تطبيق من المتاجر الرسمية وإتمام KYC لسرقة الهوية وتنفيذ هجمات SIM Swap.
  • BlueDelta: حملة تصيّد تستهدف باحثي الطاقة والنووي في تركيا وأوروبا عبر ملفات PDF تبدو رسمية ثم صفحات تسجيل دخول مزيفة تقلّد Google وSophos VPN وMicrosoft Outlook باستخدام لغات محلية وجمع بيانات عبر خدمات مجانية مثل webhook.site وngrok.
  • فيسبوك: حيلة ‘المتصفح داخل المتصفح’ لسرقة بيانات الدخول بنافذة تسجيل مزيفة مستضافة على منصات سحابية.
  • توظيف Web3 مزيف: شركات وهمية عبر youbuidl.dev تطلب تثبيت برامج مقابلة تعمل كأدوات وصول عن بُعد أو محمّلات خبيثة لاستهداف محافظ العملات ومفاتيح API.

توصيات

  • التحقق اليدوي من الروابط وعناوين الصفحات قبل إدخال البيانات، وعدم تثبيت أي برنامج مقابلة أو اختبار من جهات غير معروفة.
  • عدم مشاركة الهوية أو الصور مع تطبيقات غير موثوقة، واستخدام جهاز منفصل للبيئات الاختبارية.
  • تفعيل المصادقة الثنائية لجميع الحسابات الحساسة.

برمجيات خبيثة وتقنيات جديدة

  • رسائل تقييم الأداء: مرفق مضغوط يحوي ملف باسم مضلل ‘pdf.exe’ يثبت Guloader الذي يجلب أدوات إضافية من Google Drive لتنصيب Remcos RAT للتحكم بالجهاز وسرقة البيانات. المؤشرات الفنية: 196.251.116.219 منافذ 2404 و5000.
  • InvisibleJS: تقنية لإخفاء شيفرة جافاسكريبت بتحويلها إلى رموز يونيكود غير مرئية، ما يصعّب المراجعة اليدوية وقد يخدم هجمات حقن الشيفرة أو سلسلة التوريد؛ مؤشر محتمل هو تضخم الحجم بنحو 24 مرة.
  • امتداد كروم خبيث MEXC API Automator: إنشاء وإخفاء مفاتيح API بصلاحيات السحب، وإرسالها إلى بوت تيليجرام، ما يسمح بتداولات وسحب أموال دون علم المستخدم. المؤشرات الفنية: 7534112291:AAF46jJWWo95XsRWكzcPevHW7XNo6cqKG9I، swapsushi[.]net، t[.]me/swapsushibot.

توصيات

  • عدم فتح المرفقات التنفيذية، وتفعيل إظهار امتدادات الملفات، وتحديث حلول الحماية، وتغيير كلمات المرور عند الاشتباه.
  • حذف أي امتدادات كروم مشبوهة متعلقة بـ MEXC، ومراجعة وحذف مفاتيح API غير المعروفة وتمكين 2FA.
  • استخدام أدوات فحص تكشف عن رموز يونيكود غير مرئية في مشاريع جافاسكريبت ومراجعة الملفات ذات الأحجام غير المعتادة.

التحديثات الأمنية

  • Debian 13.3: إصدار تحديث ثالث يتضمن أكثر من 100 إصلاح أمني وتحسين لبرمجيات أساسية مثل Apache وGNOME وأدوات الحاويات؛ الأنظمة التي تعتمد تحديثات الحماية التلقائية حصلت على معظم الإصلاحات.

توصيات

  • تحديث النظام عبر مدير الحزم إلى آخر الإصدارات لضمان تطبيق التصحيحات الأمنية.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون