ملخص تهديدات الأمن السيبراني25-02-2026

يوم حافل بثغرات حرجة وتحديثات عاجلة، مع تكثيف هجمات سلسلة التوريد على بيئات التطوير واستغلال واسع للتصيد والإعلانات المضللة. لوحظ استمرار استهداف البنية التحتية وأجهزة الحافة وهجمات فدية وتسريبات كبرى، فيما تُظهر تقارير حديثة تسارع وتيرة الاختراقات بدعم الذكاء الاصطناعي.

الثغرات والتحديثات الأمنية

• SolarWinds Serv-U: أربع ثغرات حرجة تتيح تنفيذ أوامر بامتيازات مرتفعة والتصعيد إلى مدير النظام، تشمل خلل تحكم بالوصول وثغرات type confusion وIDOR. الإصدارات المتأثرة قبل 15.5.4. يُوصى بالتحديث الفوري إلى 15.5.4.
  
  الثغرات: CVE-2025-40538 CVE-2025-40539 CVE-2025-40540 CVE-2025-40541
  
  مؤشرات سابقة مرتبطة بالمنتج: CVE-2021-35211 CVE-2024-28995
• GitHub Codespaces/Copilot: ثغرة سمحت بالاستحواذ على المستودعات عبر حقن تعليمات خبيثة في Issues تستغل روابط رمزية وجلب JSON Schema لتسريب رمز GITHUB_TOKEN. تم إصلاحها. يُنصح بمراجعة الصلاحيات وتحديث بيئات Codespaces وتغيير الرموز عند الشك.
• TeamT5 ThreatSonar: استغلال الثغرة CVE-2024-7694 من قبل مجموعات صينية لرفع ملفات خبيثة وتنفيذ أوامر. تم التصحيح في أغسطس 2024. يُنصح بالتحديث ومراجعة السجلات.
• OpenClaw 2026.2.23: تحديث أمني يحسن حماية الجلسات، يضيف رؤوس أمان HTTP اختيارية، يقوي سياسات SSRF، يحجب تسرب مفاتيح API، ويقيّد صلاحيات الأدوات. يُوصى بالتحديث وتفعيل الميزات الجديدة.
• ChromeOS Beta 16581.17.0: تحسينات عامة دون تفاصيل ثغرات محددة. يُفضّل التحديث والمتابعة لأي تنبيهات لاحقة.

سلاسل التوريد واستهداف المطورين

• Sandworm_Mode عبر npm: نشر 19 حزمة خبيثة بأسماء متشابهة لخداع المطورين، تسرق مفاتيح SSH وAWS وNPM وملفات .env وأسرار مديري كلمات المرور، وتستغل GitHub Actions وتحقن خوادم MCP خبيثة لاستهداف أدوات مثل Claude Code وCursor. مؤشرات: pkg-metrics[.]official334[.]workers[.]dev/exfil freefan[.]net fanfree[.]net
• NuGet خبيثة تستهدف ASP.NET: حزم مزيفة أبرزها NCryptYo تزرع أبواب خلفية وتستخدم JIT hooking وتفتح قناة محلية عبر https://localhost:7152/api/auth/ لسحب بيانات الدخول وإرسالها لخادم المهاجم. مؤشرات: NCryptYo DOMOAuth2_ IRAOAuth2.0 SimpleWriter_ NCrypt.dll
• استغلال WMI للبقاء خفياً على ويندوز: ضبط ‘Event Filters’ لتشغيل سكريبتات خبيثة تلقائياً دون آثار واضحة، ما يطيل بقاء المهاجم.

توصيات

• إزالة أي حزم npm/NuGet مشبوهة ومجلدات node_modules، ومراجعة تغييرات package.json وملفات القفل.
• تدوير جميع بيانات الاعتماد والرموز (npm/GitHub/CI) ومراجعة مهام CI وGit hooks.
• فحص WMI repository بحثاً عن ‘Event Filters’ و’Consumers’ غير معروفة وحذف الإدخالات المشبوهة.

برمجيات خبيثة وتجسس

• Arkanix Stealer: برمجية MaaS مكتوبة بـ C++ وPython لسرقة بيانات النظام والمتصفحات وVPN وتيليجرام وديسكورد والمحافظ، مع لقطات شاشة وجمع كلمات المرور وملفات محددة، ودعم انتشار عبر ديسكورد.
• ZeroDayRAT على أندرويد وiOS: تنتشر عبر رسائل SMS وروابط مزيفة في واتساب وتيليجرام ومتاجر وهمية، وتمنح المهاجم تحكماً كاملاً بالجهاز مع تتبع الموقع، تفعيل الكاميرا والميكروفون، تسجيل الشاشة وضغطات المفاتيح، واستهداف محافظ العملات واعتراض OTP.
• AMOS عبر مهارات OpenClaw مزيفة على macOS: تعليمات خبيثة داخل ملفات SKILL.md تخدع المستخدم لإدخال كلمة المرور وتنزيل حمولة تصادر سلاسل مفاتيح Apple وKeePass وملاحظات Apple وملفات حساسة وبيانات المتصفح والمحافظ، وتُرسل بملف ZIP إلى خادم تحكم. مؤشرات: socifiapp[.]com il24xgriequcys45

توصيات

• تجنّب تثبيت تطبيقات أو مهارات من مصادر غير موثوقة، ولا تُدخل كلمة المرور إلا في نوافذ النظام الأصلية.
• فحص الأجهزة ببرامج حماية محدثة، تغيير كلمات المرور، وتفعيل المصادقة الثنائية.
• مراجعة أذونات التطبيقات المحمولة ومراقبة أي سلوك غير معتاد.

التصيد والهندسة الاجتماعية

• Quishing في بيئات لينكس: رموز QR ضمن رسائل أو ملفات PDF تقود لصفحات تصيد تشبه مزودي الهوية ولوحات DevOps لسرقة كلمات المرور أو رموز الجلسة OAuth.
• صفحة تنتحل Avast: واجهة مزيفة مع دردشة فورية تطلب البيانات الشخصية ثم بيانات البطاقة البنكية وتُرسلها للمحتالين.
• موقع زووم مزيف يوزع برنامج مراقبة: uswebzoomus[.]com ينزل ملفاً يُثبّت Teramind خفياً ويراقب النشاط. تحقق من وجود المجلد في C:\ProgramData بالمعرف {4CEC2908-5CE4-48F0-A717-8FC833D8017A} ومن الخدمة عبر sc query tsvchst. تجزئة الملف: 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa
• خدمة 1Campaign: تمكّن تجاوز فحص إعلانات Google لتوجيه الضحايا إلى صفحات تصيد أو برمجيات خبيثة باستهداف جغرافي وجهازي.

توصيات

• عدم الثقة بأي رمز QR دون تحقق، وفحص الروابط الناتجة قبل تسجيل الدخول.
• تفعيل 2FA ويفضّل مفاتيح FIDO2، وتقييد صلاحيات OAuth ومراقبة التطبيقات المصرح لها.
• تجنّب النقر على الإعلانات المروّجة في نتائج البحث، واستخدام الروابط الرسمية فقط.
• في حال إدخال بيانات مالية على صفحة مزيفة: إبلاغ البنك فوراً، مراقبة الحساب، وتغيير كلمات مرور البريد.
• فتح زووم من التطبيق الرسمي أو بكتابة العنوان يدوياً، وعدم تشغيل ملفات تم تنزيلها تلقائياً.

اختراقات كبرى وهجمات على البنية

• استهداف FortiGate بالذكاء الاصطناعي: اختراق أكثر من 600 جهاز في 55 دولة عبر سكريبتات آلية وتجربة كلمات مرور شائعة، ثم استخدام Meterpreter وMimikatz لسرقة بيانات اعتماد AD واستهداف خوادم النسخ الاحتياطي Veeam. محاولات فاشلة لاستغلال CVE-2019-7192 وCVE-2023-27532، مع نجاح ضد أهداف ضعيفة الحماية.
• هجمات على أجهزة الحافة والبنية عبر الإنترنت: محاولات استغلال مكثفة استهدفت أجهزة VPN والتوجيه وخدمات الوصول عن بُعد، مع ثغرات بارزة مثل CVE-2020-2034 وCVE-2025-55182، واستخدام بوت نت منزلية لتجاوز الحجب.
• تصاعد هجمات DDoS: هجمات أكبر وأكثر تعقيداً في 2025 تسبب توقف خدمات وخسائر حتى للشركات الصغيرة.
• فدية وابتزاز ضد Odido: مجموعة Shinyhunters سرّقت بيانات حساسة وتهدد بنشرها، مع تقديرات تأثر تصل إلى 6.2 مليون عميل وما يدعيه المهاجمون من 21 مليون سجل.
• إغلاق Step Finance بعد سرقة 40 مليون دولار: اختراق أجهزة لدى الإدارة التنفيذية أدى لسحب الأموال وإيقاف مشاريع مرتبطة، مع برامج تعويض واسترداد جزئي قيد العمل.
• تسارع وتيرة الاختراقات بدعم الذكاء الاصطناعي: تقارير تُظهر ارتفاع الهجمات المدعومة بالذكاء الاصطناعي بنسبة 89٪، ومتوسط تحرك داخل الشبكات 29 دقيقة وأسرع هجوم 27 ثانية، و82٪ من الهجمات دون برمجيات خبيثة، مع استهداف أنظمة الذكاء الاصطناعي نفسها عبر حقن تعليمات.

توصيات

• إغلاق منافذ الإدارة عن الإنترنت، تفعيل MFA، عدم إعادة استخدام كلمات المرور، وتحديث البرمجيات والأجهزة باستمرار.
• تحديث أجهزة VPN والجدران النارية وأجهزة التوجيه، تعطيل الخدمات غير الضرورية، ومراقبة السجلات وتفعيل المصادقة متعددة العوامل.
• لمواجهة DDoS: تقييم الأصول الحرجة، إغلاق المنافذ غير الضرورية، تفعيل DNSSEC وحلول التخفيف وتوزيع الحمل، ومراقبة الحركة مع اختبارات دورية.
• للضحايا المحتملين لاختراقات البيانات: مراقبة الحسابات البنكية، تغيير كلمات المرور، والانتباه لمحاولات التصيد المرتبطة بالحادثة.