ملخص تهديدات الأمن السيبراني27-03-2026
صورة اليوم تُظهر تصاعدًا متزامنًا في ثغرات حرجة واستغلالات سلسلة التوريد، مع حملات برمجيات خبيثة مركّزة على سرقة البيانات واستهداف المطورين. برزت هجمات على أدوات أمن وذكاء اصطناعي مفتوحة المصدر، وتكتيكات تصيّد مبتكرة عبر رموز QR، إلى جانب تهديدات متقدمة لأنظمة iOS ولينكس. ترافقت هذه التطورات مع تغييرات أمنية مؤثرة في ويندوز وأوبونتو.
ثغرات وتحديثات أمنية حرجة
تحديثات NVIDIA (نشرات مارس 2026) عالجت ثغرات خطيرة في Apex وTriton Inference Server وModel Optimizer وNeMo Framework وMegatron LM وVIRTIO‑Net وB300 MCU قد تسمح بتنفيذ أوامر عن بُعد أو تعطيل الخدمة. ثغرتا يوم صفر في Ivanti EPMM (CVE-2026-1281 وCVE-2026-1340) استُغِلّتا لتنفيذ أوامر بجذر النظام وسرقة بيانات. كما أُعلن عن ثغرة حرجة في Langflow (CVE-2026-33017) أتاحت RCE غير مُصادق عليه وبدأ استغلالها سريعًا. وبالتوازي، رُصدت ثغرات خطيرة في TP‑Link Archer AX53 وأجهزة HikVision وبرنامج Canva Affinity. على مستوى المنصات، تقلّصت قدرات GRUB في سيناريوهات Secure Boot على أوبونتو بما قد يؤثر على إعدادات تخزين معقدة ومشفّرة، فيما ستوقف مايكروسوفت الثقة بتعريفات النواة الموقعة بالبرنامج المتقاطع القديم بدءًا من تحديث أبريل 2026 لويندوز 11 وWindows Server 2025.
توصيات
- تحديث برمجيات وأجهزة NVIDIA فورًا، وتحديث Ivanti EPMM إلى آخر إصدار مع مراجعة السجلات وتغيير كلمات مرور المدراء.
- ترقية Langflow إلى 1.9.0 أو أحدث، وتدوير أسرار البيئة وقواعد البيانات.
- تحديث TP‑Link/HikVision/Canva Affinity وتجنب فتح ملفات EMF مشبوهة.
- قبل ترقية أوبونتو: تأكيد أن «/boot» في قسم بسيط غير مشفر والاحتفاظ بنسخ احتياطية.
- على ويندوز: التأكد من أن تعريفات النواة مجتازة لبرنامج WHCP أو ضمن قائمة السماح وتحديث التعريفات القديمة.
سلسلة التوريد واستهداف المطورين
حملة TeamPCP أصابت سلسلة التوريد باستغلال ثغرة في Trivy (CVE-2026-33634)، ونشر نسخ خبيثة من LiteLLM على PyPI (1.82.7 و1.82.8) سرقت مفاتيح SSH وأسرار السحابة وK8s وزرعت وصولًا دائمًا، كما استُبدلت جميع نسخ «checkmarx/ast-github-action» (91 علامة) بإصدارات تسرب بيانات الاعتماد، وامتد الأثر إلى أدوات مثل KICS. مؤشرات بارزة: models.litellm.cloud، checkmarx.zone، f1d2a3477e0d، f58de2470825، aa52a82cddf2.
بالتوازي، رُصدت حزم npm خبيثة عبر اختراق حسابات مطورين شرعيين مثل sbx-mask وtouch-adv لسرقة متغيرات البيئة وبيانات الدخول، وحملة «Ghost» التي استخدمت حزمًا مزيفة مثل react-state-optimizer-core وcoinbase-desktop-sdk و@openclaw-ai/openclawai لخداع الضحايا وطلب كلمة مرور sudo وتثبيت RAT. كما ظهرت برمجية «GlassWorm» التي تنتشر عبر npm/PyPI وملحقات VS Code لتسريب الأسرار وتثبيت RAT وإضافة متصفح مزيفة، مع مؤشرات: 45.32.150.251، 217.69.3.152، 217.69.0.159، 45.150.34.158، مفاتيح سجل بدء التشغيل ...\Run\UpdateApp و...\Run\UpdateLedger، ومهمة مجدولة باسم «UpdateApp (AghzgY.ps1)» وإضافة «Google Docs Offline (1.95.1)».
توصيات
- مراجعة سجلات CI/CD لاستخدام «checkmarx/ast-github-action» بين 23 و24 مارس، وتحديث Trivy إلى v0.69.2 وما بعدها، وtrivy-action إلى v0.35.0 أو تثبيت SHA آمن، وsetup-trivy إلى v0.2.6.
- حذف LiteLLM 1.82.7 و1.82.8 والرجوع إلى إصدار آمن ≤ 1.82.6، وتدوير جميع الأسرار (SSH، السحابة، K8s، قواعد البيانات) وفحص الأنظمة لمؤشرات مثل
~/.config/sysmonو/tmp/pglog. - إزالة حزم npm الخبيثة (
sbx-mask،touch-advوغيرها)، تغيير جميع كلمات المرور والرموز السرية، وفحص الأجهزة ببرامج الحماية. - تثبيت الحزم من مصادر موثوقة، وتجميد الإصدارات وتوثيقها بـ SHA/digest عند النشر.
برمجيات خبيثة وسرقة بيانات
ارتفاع هجمات «PXA Stealer» على المؤسسات المالية عبر مرفقات .zip وتصيد بواجهات رسمية، تُثبَّت تحت «svchost.exe» وتستخدم مجلدًا مخفيًا باسم «Dots» وكلمة مرور «shodan2201»، وترسل البيانات عبر تيليجرام. مؤشرات: Pumaproject.zip، shodan2201، svchost.exe، Verymuchxbot.
«Torg Grabber» طوّرت قنوات C2 إلى REST API مشفر ومدعوم بـ Cloudflare، وتسرق بيانات المتصفحات والمحافظ وVPN و2FA مع تدوير نطاقات سريع. مؤشرات: technologytorg.com، apiauth، apiuploadchunk، gogenbydet.cc، bbcplay.top، playbergs.info.
حملة متعددة المراحل ضد فرق دعم Web3 تستخدم ملف «.pif» مقنّع كرابط لقطة شاشة، تُحمّل حمولات .NET موقعة وتفتح قناة C2 إلى ٣٧ عنوانًا عبر المنفذ 15628 مع ثبات عبر AppData. مؤشرات: Photo2025060268jpg.exe، Feedback.exe، updat.exe، vcruntime140.dll، msvcp140.dll، crashreport.dll، yyext.log، وهاشات متعددة مذكورة في المواد.
«RedLine» ما زالت من أكثر برمجيات سرقة المعلومات انتشارًا؛ سُلّم مشتبه أرميني بإدارتها للولايات المتحدة، فيما يستمر خطر سرقة كلمات المرور والمحافظ وبيانات VPN منذ 2020.
تهديد «BPFDoor» يستهدف شبكات الاتصالات عبر زرع متخفي على لينكس يعمل بمستوى النواة ويستقبل أوامر عبر حزم شبكة مموهة؛ صدرت أداة فحص من Rapid7 لكشفه.
من جهة اقتصاد التسريبات، ظهرت منصة «Leak Bazaar» لتصفيف وبيع بيانات الشركات المخترَقة حسب فئات تجارية وبخيارات بيع حصرية أو متعددة.
توصيات
- عدم فتح مرفقات .zip/.rar غير موثوقة، وحذف نصوص .vbs/.js المشبوهة، ومراقبة الاتصالات مع نطاقات .xyz و .shop.
- فحص الأنظمة بـ EDR محدث، ومراقبة الاتصالات الخلفية وقنوات تيليجرام/REST المعروفة بالحملات المذكورة.
- تغيير كلمات المرور وتفعيل المصادقة الثنائية، وتجنّب تخزين الأسرار في المتصفحات.
التصيّد والهندسة الاجتماعية
حملة «Quish Splash» وظّفت رموز QR داخل صور BMP لتجاوز الفحوصات (SPF/DKIM/DMARC) وإرسال 1.6 مليون رسالة خلال أقل من ثلاثة أسابيع، مع أكواد QR فريدة لكل مستلم تقود لمواقع تصيّد عند المسح بالهاتف.
تصيّد يستهدف حسابات TikTok للأعمال عبر صفحات جدولة مزيفة تبدأ من Google Storage وتستخدم فحص Cloudflare، وتجمع بيانات الدخول وملفات الجلسة. مؤشرات: welcome.careerscrews.com، welcome.careerstaffer.com، welcome.careersworkflow.com، welcome.careerstransform.com، welcome.careersupskill.com، welcome.careerssuccess.com، welcome.careersstaffgrid.com، welcome.careersprogress.com، welcome.careersgrower.com، welcome.careersengage.com.
حملة «Silver Fox» استخدمت ملفات PDF ضريبية مزيفة وروابط إلى Tencent Cloud لتنزيل برمجيات خبيثة (بدءًا بـ ValleyRAT ثم أدوات مراقبة وبرمجية سرقة ببايثون متخفية كتطبيق نسخ احتياطي للواتساب) مع مواقع تصيد تقلد جهات ضرائب. مؤشرات: 154.201.87[.]0/24، xqwmwru[.]top، C:\WhatsAppBackup\WhatsAppData.zip.
هجوم «ClickFix» يخدع مستخدمي ويندوز وماك لتشغيل أوامر خبيثة عبر Run/Terminal باستخدام صفحات تحقق وهمية وتقنيات pastejacking؛ على macOS ظهرت «Infiniti Stealer» كحملة موثقة تستخدم الأسلوب نفسه لسرقة كلمات المرور وKeychain والمحافظ وبيانات المطورين. مؤشرات: update-check[.]com، Infiniti-stealer[.]com، وهاشات مذكورة في المواد.
توصيات
- تجنب مسح رموز QR من رسائل غير متوقعة، والتحقق من النطاق قبل إدخال أي بيانات.
- عدم نسخ/لصق أوامر في Run/Terminal من مصادر غير موثوقة؛ تفعيل سياسات تقييد PowerShell/AppLocker على ويندوز وقيود MDM/SIP على macOS.
- تفعيل المصادقة الثنائية ومفاتيح المرور، ومراقبة نشاط تسجيل الدخول والتنبيهات.
تهديدات منصات وأنظمة أساسية
كشف عن إطار/أداة استغلال متقدمة على iOS باسم «كورونا/Coruna» تستغل ثغرات حرجة منها CVE-2023-32434 وCVE-2023-38606 بسلسلة استغلال تبدأ من Safari وتنتهي ببرمجية تجسس، مع تقارير عن استهداف أجهزة حتى iOS 17.2 وبعض المعالجات الحديثة.
Rootkit «VoidLink» على لينكس يجمع بين وحدات نواة وأكواد eBPF لإخفاء العمليات والمنافذ، مع قنوات تحكم عبر ICMP وقدرات منح صلاحيات الجذر والتدمير الذاتي، ويستهدف توزيعات من CentOS 7 حتى Ubuntu 22.04.
على macOS، «GhostClaw» تنتحل أدوات تطوير على GitHub، وتستدرج المستخدم عبر install.sh ثم تسحب حمولة خبيثة بـ curl -k وتسرق كلمات المرور وتتصل بـ trackpipe.dev وتخفي آثارها. مؤشرات: trackpipe.dev، install.sh، setup.js، ~/.cache/.npm_telemetry/monitor.js.
توصيات
- تحديث أجهزة iOS إلى آخر إصدار وتجنب الروابط المشبوهة.
- على لينكس: تفعيل Secure Boot، السماح فقط بوحدات موقعة، تعطيل eBPF غير الضروري، ومقارنة مخرجات أوامر النظام مع ملفات /proc بحثًا عن التخفي.
- على macOS: عدم تنفيذ أوامر تثبيت من مستودعات غير موثوقة، مراقبة استخدام curl -k، وعدم إدخال كلمة المرور في نوافذ غير رسمية.
