ملخص تهديدات الأمن السيبراني20-03-2026

يوم حافل بثغرات حرجة وهجمات تستهدف بيئات التطوير والذكاء الاصطناعي، مع نشاط ملحوظ لمجموعات تهديد مرتبطة بدول واستهداف منصات مالية. كما برزت اتجاهات تسريب هويات ومفاتيح API وتغييرات منصات كبرى للحد من الهندسة الاجتماعية.

ثغرات وتحديثات أمنية حرجة

• SharePoint: استغلال نشط لثغرة CVE-2026-20963 (deserialization) يُمكّن مهاجماً غير مصدَّق من تنفيذ أوامر عن بُعد على الخادم. الثغرة صُححت في تحديثات يناير.
• UniFi Network: ثغرتان، الأولى شديدة الخطورة CVE-2026-22557 (Path Traversal) تسمح بالوصول للملفات والاستيلاء على الحسابات، والثانية NoSQL Injection تؤدي لتصعيد الصلاحيات عند وجود وصول مصدَّق. الإصدارات المتأثرة: 10.1.85 وما دون؛ الإصلاح متاح في 10.1.89.
• Magento/Adobe Commerce: ثغرة «PolyShell» عبر REST API تسمح برفع ملف مزدوج إلى المسار pub/media/custom_options/quote/ بما يفتح الباب لـ RCE أو XSS. التصحيح الرسمي متوفر تجريبياً في 2.4.9 ألفا، والإصدارات الإنتاجية ما زالت معرضة.
• Claude.ai: سلسلة ثغرات (حقن أوامر مخفية عبر روابط معدّلة، إعادة توجيه غير آمنة، وتسريب من سجل المحادثات) قد تُسرب بيانات حساسة، خاصة عند ربط المنصة بملفات أو APIs.
• Chrome Dev على أندرويد: إصدار 148.0.7739.3 يتضمن إصلاحات وتحسينات أمنية.
• أندرويد والتطبيقات غير الموثقة: مسار تثبيت متقدّم يتطلب تفعيل وضع المطوّر، تأكيد عدم الإكراه، إعادة التشغيل، وإعادة التحقق بالبيانات الحيوية/الرمز، مع خيار تفعيل لسبعة أيام أو بشكل دائم. تغييرات قادمة في سبتمبر 2026 لتقييد التثبيت من مطورين غير موثقين بمسار انتظار خاص (24 ساعة) والتحقق من هوية المطور.

توصيات

• تحديث SharePoint وUniFi وChrome فوراً؛ وتشديد ضبط وصول Magento إلى مجلد pub/media/custom_options/ وفحص المتجر من ملفات مشبوهة.
• في Claude: راجع صلاحيات الربط وقلّص الوصول للبيانات الحساسة.
• على أندرويد: تجنّب التثبيت من خارج المتجر ما لم تكن واثقاً، واستعد لتغييرات التحقق القادمة.

برمجيات خبيثة واستغلال سلاسل التوريد وبيئات التطوير

• Windsurf IDE: إضافة مزيفة «reditorsupporter.r-vscode-2.8.8-universal» تسقط ملفات w.node وc_x64.node، تتواصل عبر معاملات شبكة Solana، وتسرق كلمات المرور وملفات تعريف الدخول من متصفحات مثل Google Chrome، مع مهمة خفية باسم «UpdateApp».
• Open VSX: إضافة «fast-draft» (الإصدارات: 0.10.89، 0.10.105، 0.10.106، 0.10.112) تُحمّل حمولة تحكم عن بُعد وسارق بيانات من مستودع raw.githubusercontent.com/BlokTrooper/extension وتتواصل مع 195.201.104.53:6931 و6936 و6939، وتستهدف الحافظة عبر pbpaste وGet-Clipboard.
• PyPI: حزمة «Pyronut» تنتحل «pyrogram» وتمنح المهاجم تنفيذ أوامر عن بُعد على بوتات تيليجرام. الإصدارات الخبيثة: pyronut==2.0.184 و2.0.185 و2.0.186، مع مؤشرات مثل meval و/bin/bash -c.
• npm: حزمتا sbx-mask وtouch-adv سُخّرتا لسرقة الأسرار بعد اختراق حساب مطور موثوق.
• OpenWebUI: استغلال إعدادات خاطئة وغياب المصادقة لنشر مُعدّنات وسارق معلومات عبر سكريبت بايثون مُشفّر؛ مؤشرات: T-Rex، XMRig، processhider، argvhider، application-ref.jar، INT_D.DAT، INT_J.DAT، Discord Webhook.
• حملة «Vibe-Coded»: أرشيفات ZIP بأدوات مزيفة تتضمن WinUpdateHelper.dll لزرع خدمة «Microsoft Console Host» وتشغيل PowerShell خفياً والاتصال بـ C2، تنزيل مُعدّنات مثل Zephyr وRavencoin وتعطيل Windows Defender؛ أحياناً تُزرع أدوات سرقة مثل SalatStealer أو RAT.
• أندرويد «Perseus»: برمجية تتنكر كتطبيقات IPTV خارج Google Play (تركيز على تركيا)، مبنية على Cerberus، تستخدم التراكب وتسجيل المفاتيح وتستهدف تطبيقات الملاحظات (Google Keep وEvernote وSamsung Notes) لاستخراج كلمات سر وعبارات استرداد.

توصيات

• احذف أي إضافات/حزم مشبوهة وافحص الأجهزة ببرامج حماية محدثة، وغيّر كلمات المرور.
• أمّن خوادم OpenWebUI بالمصادقة، وراقب العمليات والخدمات غير المعتادة.
• تجنّب تنزيل أدوات من قنوات اجتماعية أو روابط غير رسمية؛ على أندرويد استخدم Google Play وفعّل Play Protect.

حملات وجماعات تهديد نشطة

• بوت نت مرتبط بإيران: شبكة SSH لنشر البوتات وتجاوز الحجب وتنفيذ DDoS (مثل MHDDOS) مع نظام C2 لتسجيل الأجهزة. استخدام نفق «Paqet» وتحويل حركة المرور بين إيران وخوادم خارجية. مؤشرات:

  185.221.239.162
  65.109.187.102
  65.109.184.58
  65.109.196.138
  65.109.204.0
  65.109.209.147
  65.109.213.131
  65.109.214.203
  185.221.239.84
  185.221.239.121
  185.221.239.160
  185.221.239.188
  185.236.38.79
  185.236.38.81
  194.147.222.183
  212.74.39.128

• Handala ضد Stryker: هجوم عطّل بيئة مايكروسوفت لدى الشركة ووصل إلى أنظمة إدارة الأجهزة، مع أوامر مسح عبر Microsoft Intune طالت نحو 80,000 جهاز، بما فيها بعض الأجهزة الشخصية المرتبطة. مؤشرات:
  handala-redwanted.to handala-hack.to
• حجب بنية دعائية/تهديدية: إيقاف أربعة نطاقات استُخدمت لنشر بيانات مسروقة وتهديد معارضين وصحفيين والتحريض على العنف. مؤشرات:
  Justicehomeland[.]org Handala-Hack[.]to Karmabelow80[.]org Handala-Redwanted[.]to Handala_Team@outlook[.]com
• لازاروس ضد Bitrefill: اختراق بدأ من جهاز موظف وسرقة بيانات اعتماد قديمة أفضت للوصول إلى لقطات بأسرار إنتاج ثم قاعدة البيانات ومحافظ رقمية؛ تسريب بيانات 18,500 عملية شراء (بريد إلكتروني، عناوين IP، عناوين مدفوعات رقمية، واسم العميل في نحو 1,000 حالة) مع احتمال حصول المهاجمين على مفاتيح فك التشفير.

توصيات

• تحصين SSH (مفاتيح فقط، تعطيل كلمات المرور، تحديد المحاولات) ومراقبة جلسات وصِلات مشبوهة.
• في Intune: تقييد صلاحيات المسؤولين، تفعيل المصادقة المتعددة، ومراجعة الحسابات والإعدادات.
• لمستخدمي Bitrefill: ترقّب رسائل تصيّد ونشاطاً مشبوهاً في المحافظ والحسابات.

تسريبات واتجاهات الهوية

• اتجاهات 2026: ارتفاع كبير في مفاتيح API المكشوفة (18.1 مليون) وبيانات دخول مرتبطة بأدوات الذكاء الاصطناعي (6.2 مليون). التصيّد ما زال مهيمناً (28.6 مليون هوية في 2025، نصفها لمستخدمين شركات). اكتشاف أكثر من 642 مليون بيانات دخول من 13.2 مليون إصابة ببرمجيات خبيثة، و80٪ من بيانات دخول الشركات كانت بكلمات مرور نصية بسيطة.
• تسريب عبر أدوات مشروعة: استخدام أدوات مثل PowerShell وrobocopy وrclone وAWS CLI لنقل البيانات عبر قنوات موثوقة (HTTPS) إلى خدمات سحابية، ما يصعّب الرصد ويستلزم تحليل السياق والسلوك.

توصيات

• تفعيل المصادقة المتعددة، تغيير كلمات المرور، إلغاء مفاتيح API غير الضرورية، ومراقبة أنماط نقل بيانات غير معتادة.
• فعّل سجلات العمليات والشبكة وراقب إساءة استخدام الأدوات المسموح بها.

احتيال وهندسة اجتماعية

• ارتفاع عالمي في الاحتيال المالي المعتمد على الذكاء الاصطناعي، بقدرات تصيّد وانتحال مُخصّصة على نطاق واسع، وابتزاز بالتزييف العميق مع تحسين مستمر للأساليب.

توصيات

• توعية الفرق والتحقق متعدد القنوات للمعاملات والطلبات الحساسة، وعدم الوثوق بالوسائط الصوتية/المرئية دون تحقق إضافي.