ملخص تهديدات الأمن السيبراني26-03-2026

يوم حافل بهجمات سلسلة التوريد على أدوات التطوير، واستغلالات وثغرات حرجة في منصات وخوادم واسعة الانتشار. برزت أيضاً حملات تصيّد موجهة للمطورين والمستخدمين، مع نشاط ملحوظ للبوت نت والبرمجيات الخبيثة، إلى جانب هجمات فدية وتسريبات بارزة.

سلسلة التوريد واستهداف أدوات التطوير

سلسلة هجمات واسعة استهدفت منظومة التطوير والمستودعات:

  • مجموعة TeamPCP حقنت إصدارات خبيثة في أدوات Trivy وLiteLLM وإضافات Checkmarx بين 19 و24 مارس 2026 لسرقة كلمات المرور ومفاتيح السحابة ومحافظ العملات الرقمية، مع تشغيل تلقائي وإخفاء كخدمة «sysmon». الإصدارات المصابة من LiteLLM: 1.82.7 و1.82.8. مؤشرات فنية: ~/.config/systemd/user/sysmon.py، tpcp-docs.
  • اختراق مكتبة LiteLLM على PyPI عبر حساب المطور ونشر نسخ ضارة (1.82.7 و1.82.8) تتصل بخادم أوامر كل 50 دقيقة وتسرق الأسرار؛ رُصدت هجمات متشابهة على Trivy وCheckmarx.
  • ثغرة في سلسلة توريد الذكاء الاصطناعي عبر توثيقات «Context Hub» المسمومة تمكّن من حقن تعليمات خبيثة دون برمجيات ضارة، وقد تُدرِج بعض النماذج حِزماً خبيثة تلقائياً.
  • تطور حملة «GlassWorm» بنشر إضافات خبيثة في npm وPyPI وOpen VSX وسوق Visual Studio باستخدام يونيكود مخفي وتحول مؤجل، مع قنوات تحكم ضمن معاملات بلوكتشين Solana واستهداف خوادم MCP. مؤشرات: @iflow-mcp، watercrawl-mcp، Solana memo C2، امتدادات Open VSX مشبوهة منذ 31 يناير.

توصيات

  • تحديث الأدوات فوراً: Trivy إلى 0.69.7، LiteLLM إلى 1.82.9 أو أعلى، وإضافات Checkmarx إلى 1.10.0 أو 2.56.0.
  • إزالة المؤشرات ~/.config/systemd/user/sysmon.py وtpcp-docs إن وُجدت، وإعادة توليد جميع كلمات المرور ومفاتيح SSH وAPI.
  • اعتماد التثبيت القائم على تجزئة SHA وفحص الحِزم والإضافات ومراجعات المجتمع قبل الدمج.
  • تعطيل وصول الوكلاء للإنترنت أو البيانات الحساسة ومراجعة التوثيقات غير الموثوقة قبل اعتمادها.

ثغرات واستغلالات حرجة وتحديثات

  • Magento وAdobe Commerce: ثغرة «PolyShell» تُستغل بنشاط لرفع ملفات وتنفيذ أوامر عن بُعد عبر REST API. مؤشرات: ملفات index.php، json-shell.php، bypass.phtml، c.php، rce.php، ato_poc.html؛ هاشات MD5: a17028468cb2a870d460676d6d6da3ad63706778e3، 4009d3fa8132195a2dab4dfa3affc8d2؛ عناوين IP: 2.217.245.213، 3.12.250.83، 18.220.50.153، 198.186.130.10.
  • PTC Windchill وFlexPLM على لينكس: ثغرة حرجة لتنفيذ أوامر عن بُعد دون مصادقة CVE-2026-4681، لا تحديث متاح حالياً؛ الخطر يرتفع مع إمكان الوصول للشبكة.
  • NGINX (وحدة MP4): ثغرة عالية الخطورة CVE-2026-32647 قد تؤدي إلى تنفيذ أوامر أو تعطل الخدمة؛ المتأثر NGINX Plus (R32–R36) وNGINX Open Source (1.1.19–1.29.6).
  • Harbor: ثغرة حرجة بسبب بيانات اعتماد افتراضية تتيح سيطرة كاملة على السجل CVE-2026-4404.
  • Citrix NetScaler ADC/Gateway: تحديثات لسد ثغرتين خطيرتين تشبهان CitrixBleed: CVE-2026-3055 وCVE-2026-4368.
  • TP-Link Archer NX: عدة ثغرات خطيرة منها تجاوز التحقق ورفع برمجيات ضارة CVE-2025-15517، ومفتاح تشفير ثابت CVE-2025-15605، وتنفيذ أوامر CVE-2025-15518 وCVE-2025-15519.
  • Microsoft Authenticator: ثغرة على أندرويد وiOS قد تسمح بسرقة رموز الدخول CVE-2026-26123؛ تم توفير تحديث في مارس 2026.
  • تحديثات آبل الشاملة (مارس 2026): تصحيح 80+ ثغرة عبر iOS وiPadOS وmacOS وwatchOS وtvOS وvisionOS وسفاري، بينها WebKit والنواة؛ لا استغلال نشط مُعلن.
  • ChromeOS والمتصفح كروم: تحديثات حرجة عالجت ثغرات «استخدام بعد التحرير» و«تجاوز سعة الذاكرة» في مكونات متعددة؛ إصدارات ChromeOS 16581.42.0 وChrome 146.0.7680.169.

توصيات

  • تحديث Magento وتفعيل WAF وتقييد مجلد pub/media/custom_options/ ومراجعة صلاحيات التنفيذ والبحث عن المؤشرات المذكورة.
  • عزل خوادم PTC وتقليل تعرضها للشبكات غير الموثوقة وتطبيق قواعد الوصول المؤقتة من البائع.
  • تحديث NGINX إلى الإصدارات الموصى بها أو تعطيل وحدة MP4 مؤقتاً.
  • تغيير كلمة مرور المسؤول الافتراضية في Harbor فوراً.
  • تحديث NetScaler وTP-Link وجميع أجهزة آبل وChromeOS/كروم إلى آخر إصدارات متاحة.
  • تحديث Microsoft Authenticator فوراً على الهواتف المتأثرة.

برمجيات خبيثة وبوت نت

  • ارتفاع هجمات البوت نت اعتماداً على Mirai، مع أكثر من 21,000 خادم تحكم وسيطرة بنهاية 2025 وهجمات حتى 31.4 تيرابت/ث، واستغلال أجهزة إنترنت الأشياء والراوترات وكاميرات المراقبة ونسخ مثل Satori وKimWolf، إضافة لاستخدام الأجهزة كبروكسي سكني.
  • حملة «SmartApeSG» تنشر Remcos RAT وNetSupport RAT وStealC وSectop RAT عبر تقنية ClickFix وصفحات CAPTCHA مزيفة وسيناريوهات DLL side-loading. مؤشرات: urotypos[.]com، Remcos RAT، NetSupport RAT، StealC، Sectop RAT.
  • حملة متعددة المراحل على ويندوز تستخدم ملفات VBS وأوامر PowerShell لتحميل صور PNG تحوي بيانات مشفرة للتنفيذ في الذاكرة وتثبيت Remcos RAT وXWorm، مستغلة مجلدات مفتوحة للتبديل السريع. مؤشرات: .vbs، .bat، .zip، Remcos RAT، XWorm.
  • برمجية «Torg Grabber» تسرق بيانات 728 محفظة عملات رقمية وإضافات المتصفحات ومديري كلمات المرور عبر أوامر PowerShell بعد التلاعب بالحافظة. مؤشرات: Torg Grabber، ClickFix.

توصيات

  • تحديث برمجيات الأجهزة المنزلية والراوترات وتغيير كلمات المرور الافتراضية ومراقبة الحركة للشذوذ.
  • حظر تنفيذ السكريبتات غير الموثوقة، وتفعيل مراقبة PowerShell، والبحث دورياً في AppData وProgramData عن ملفات مشبوهة.
  • استخدام حلول حماية محدثة والكشف عن الاتصالات الخارجية المريبة وحظر المؤشرات الواردة.

تصيّد واحتيال

  • حملة تصيّد تستهدف مطوري OpenClaw عبر إشعارات GitHub وروابط جوائز مزيفة تقود إلى موقع token-claw.xyz لسرقة محافظ رقمية، مع ملف خبيث «eleven.js» لحذف الأدلة. مؤشر إضافي: 0x6981E9EA7023a8407E4B08ad97f186A5CBDaFCf5.
  • تصيّد حسابات مايكروسوفت عبر تطبيقات Bubble الوهمية بصفحات تسجيل دخول مزيفة تستخدم JavaScript معقد وShadow DOM.
  • احتيال مالي متطور عبر «هواتف سحابية» أندرويد افتراضية تُحاكي الأجهزة وتخدع أنظمة مكافحة الاحتيال لتمرير تحويلات.
  • انتشار بيع حسابات منصات الذكاء الاصطناعي المخترقة (ChatGPT وClaude وCopilot) في قنوات غير رسمية لاستخدامها في حملات تصيّد وهندسة اجتماعية.

توصيات

  • عدم الضغط على روابط الجوائز أو المصادقة من GitHub، ومراجعة صلاحيات المحافظ وإلغاء أي موافقات مشبوهة.
  • التحقق من النطاق دائماً قبل إدخال بيانات الدخول، وتفعيل المصادقة الثنائية.
  • مراقبة التحويلات المالية وتفعيل التحقق بخطوتين والإبلاغ الفوري عن أي نشاط مشبوه.

فدية وتسريبات

  • برمجية الفدية «Pay2Key» توسّع استهدافها إلى خوادم لينكس والبُنى الافتراضية والسحابية، تطلب صلاحيات root وتستخدم ChaCha20 وتعطّل الحماية والعمليات، مع إدارة كخدمة RaaS.
  • هجوم مدمر على شركة Stryker أعلنته مجموعة «Handala» شمل حذف آلاف الأجهزة وسرقة 50 تيرابايت من البيانات مع ترجيح استخدام Microsoft Intune لإعادة الضبط عن بُعد.
  • تسريب 14 غيغابايت من الوثائق الحساسة المنسوبة للرئيس السابق للموساد تمير باردو من قبل مجموعة «هندالة».

توصيات

  • تشديد الصلاحيات ومراقبة إيقاف الخدمات، وتقييد الوصول إلى لوحات الإدارة وواجهات ESXi، ومراجعة النسخ الاحتياطية.
  • تغيير كلمات المرور ومراقبة الحسابات لمَن يُحتمل تأثر بياناته، والحذر من محاولات الابتزاز أو التصيّد اللاحقة.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون