ملخص تهديدات الأمن السيبراني28-03-2026

يوم حافل بثغرات حرجة وسلاسل توريد مصابة وحملات تصيّد وفدية، مع تسريبات بيانات تطال مطورين ومستخدمين ومنصات واسعة. فيما يلي أبرز المستجدات والإجراءات العاجلة المقترحة لمواجهة المخاطر.

سلاسل التوريد البرمجية (TeamPCP، Trivy/LiteLLM، Telnyx)

• اختراق أدوات المطورين: اختراق أداة Trivy عبر مفاتيح GitHub مسروقة واستغلالها لاختراق LiteLLM ونشر شيفرة خبيثة طالت ملايين المطورين، مع استخدام تقنيات ذكاء اصطناعي لتسريع النشر. الثغرة الحرجة في Trivy مُعرّفة بـ CVE-2026-33634.
• Langflow: ثغرة تنفيذ أوامر عن بُعد حتى الإصدار 1.8.2 تسمح بسرقة مفاتيح وبيانات اعتماد CVE-2026-33017.
• PyPI/Telnyx: نشر نسخ خبيثة من حزمة Telnyx (4.87.1 و4.87.2) تسرق مفاتيح SSH وبيانات السحابة والمحافظ، وتستهدف أيضاً بيئات Kubernetes. تعتمد على ملفات WAV لإخفاء الحمولة وعلى ويندوز تسقط ملفاً باسم msbuild.exe ضمن بدء التشغيل.

مؤشرات فنية

• telnyx==4.87.1 telnyx==4.87.2 telnyx/_client.py ringtone.wav hangup.wav msbuild.exe
• models.litellm.cloud .pth node-setup-* ~/.config/sysmon/sysmon.py
• الثغرات: CVE-2026-33634 CVE-2026-33017

توصيات

• إزالة الإصدارات المصابة (خاصة telnyx 4.87.1 و4.87.2) وإعادة التثبيت من مصادر موثوقة.
• تدوير جميع المفاتيح السرية وTokens وSSH وبيانات اعتماد CI/CD، ومراجعة السجلات لنشاط غير معتاد.
• تعطيل أي عناصر بدء تشغيل مشبوهة، والبحث عن ملفات WAV غير معروفة وmsbuild.exe في مسارات غير اعتيادية.

ثغرات حرجة وتحديثات عاجلة

• PTC Windchill/FlexPLM: تنفيذ أوامر عن بُعد بدون مصادقة عبر deserialization غير آمن، دون تحديث متاح حالياً مع إجراءات تخفيفية وإشعارات كشف الاستغلال. الثغرة: CVE-2026-4681.
• Citrix NetScaler (ADC/Gateway): قراءة بيانات حساسة من الذاكرة عن بُعد في أنظمة SAML IdP وإصلاح خلل إدارة الجلسات. إصدارات التصحيح: 14.1-66.59، 13.1-62.23، 13.1-NDcPP 13.1.37.262. الثغرات: CVE-2026-3055 CVE-2026-4368.
• TP-Link Archer NX: تجاوز تحقق وحقن أوامر ومفتاح تشفير ثابت قد يقود لسيطرة كاملة وتسريب بيانات. الثغرات: CVE-2025-15517 CVE-2025-15518 CVE-2025-15519 CVE-2025-15605.
• BIND 9: ثلاث ثغرات قد تسبب DoS أو تجاوز ACL؛ يُنصح بالتحديث إلى 9.18.47 أو 9.20.21 أو 9.21.20. المؤشرات: CVE-2026-1519 CVE-2026-3119 CVE-2026-3591.
• Windows WER: تصعيد صلاحيات محلي إلى SYSTEM مع توفر كود إثبات مفاهيمي. الثغرة: CVE-2026-20817.
• xz: برمجية خبيثة في الإصدارات 5.6.0 و5.6.1 تؤثر على SSH. الثغرة: CVE-2024-3094.
• iOS/Coruna: استغلالات متقدمة تشمل CVE-2023-32434 وCVE-2023-38606 تستهدف نسخ غير محدثة.
• منظومات التحديث في ويندوز: ميزة ‘جاهزية التحديث’ في Windows Autopatch لتقليل مخاطر الأجهزة غير المحدّثة. كما يتوفر تحديث اختياري KB5079391 يحسن Smart App Control.

توصيات

• تطبيق تحديثات Citrix وTP-Link وBIND فوراً، وإنهاء الجلسات النشطة ومراجعة السجلات في بيئات NetScaler.
• تطبيق إجراءات التخفيف لأنظمة PTC ومراقبة مؤشرات الاستغلال لحين صدور تصحيحات.
• تحديث ويندوز لسد CVE-2026-20817، وخفض xz إلى 5.4.x على الأنظمة المتأثرة.
• تحديث iOS إلى آخر إصدار، ومراجعة تقارير جاهزية التحديث في البيئات المُدارة.

برمجيات خبيثة وهجمات متقدمة

• BPFdoor/Red Menshen: باب خلفي متخفي داخل نواة لينكس يستهدف شبكات الاتصالات، يعتمد على تصفية الحزم وينتظر ‘حزمة سحرية’. يُنصح بمراقبة حركة SCTP والبحث عن عمليات مشبوهة مثل hpasmlited.
• BianLian عبر SVG: رسائل بريد بمرفقات SVG تُنزل حمولة فدية تشفر الملفات باستخدام AES وتتحايل على التحليل. مؤشرات: contabilidad.icu getpdfdigital.cloud soportedigital.cloud documentodigital.cloud.
• PXA Stealer عبر ZIP: أرشيفات مضللة تحتوي ملفات تنفيذية مزدوجة الامتداد تسرق كلمات المرور وجلسات التصفح والمحافظ وترسلها عبر تيليجرام. مؤشرات: Pumaproject.zip Document.docx.exe svchost.exe (من مجلد غير قياسي) Verymuchxbot.
• BRUSHWORM/BRUSHLOGGER: باب خلفي ومسجل ضغطات يستهدف مؤسسة مالية وينتشر عبر USB بأسماء مغرية مثل Salary Slips.exe. مؤشرات: paint.exe libcurl.dll C:\ProgramData\Photoes\Pics\ C:\Users\Public\Libraries\ C:\Users\Public\Systeminfo\.
• Venom Stealer بانتحال Avast: موقع مزيف يوزع ملف Avast_system_cleaner.exe ويسرق كلمات المرور والمحافظ، ويحفظ نفسه باسم v20svc.exe. مؤشرات: SHA-256: ecbeaa13921dbad8028d29534c3878503f45a82a09cf27857fa4335bd1c9286d app-metrics-cdn[.]com 104.21.14.89 http://app-metrics-cdn[.]com/api/*.
• Wiper يستهدف إيران: دودة تمسح البيانات وتستغل واجهات Docker/Kubernetes/Redis وثغرة React2Shell وتبتز الضحايا عبر تيليجرام. مؤشر: React2Shell.

توصيات

• تفعيل فحص البريد وحجب المرفقات والصيغ غير المتوقعة مثل SVG وZIP التنفيذية، وحجب النطاقات الواردة أعلاه.
• مراقبة العمليات غير المعتادة (مثل svchost.exe خارج مساراته، hpasmlited)، وتعزيز حماية الأطراف الطرفية.
• فحص الأنظمة بحثاً عن مؤشرات USB خبيثة وتعطيل التشغيل التلقائي.

تسريبات وخرق بيانات

• مفاتيح API مكشوفة: العثور على 1,748 مفتاح صالح ضمن 10,000 صفحة عبر فحص 10 ملايين موقع، تمنح وصولاً لخدمات مثل AWS وGitHub وStripe وOpenAI، أغلبها ضمن ملفات JavaScript.
• BreachForums: تسريب بيانات أكثر من 300,000 مستخدم يشمل كلمات مرور مشفرة وعناوين IP ورموز جلسات، مع تهديدات بنشر محتوى إضافي.
• تسريب Anthropic/Mythos: خطأ إعدادات كشف 3000 ملف داخلي، بينها تقييمات تحذّر من قدرات سيبرانية عالية لنموذج غير معلن.
• اختراق بريد شخصي: اختراق حساب جيميل لشخصية عامة وتسريب رسائل وصور قديمة، دون دلائل على بيانات حكومية سرية.

توصيات

• فحص الشيفرة والمواقع لرصد مفاتيح مكشوفة، تدوير بيانات الاعتماد وتفعيل صلاحيات أقل وتدقيقات دورية.
• تغيير كلمات المرور المعاد استخدامها، ومراقبة محاولات التصيّد بعد تسريبات المنتديات.
• مراجعة إعدادات الوصول للأنظمة السحابية ومنع كشف البيانات الداخلية، وفحص سجلات الوصول.
• تفعيل التحقق بخطوتين للحسابات الشخصية وعدم استخدام البريد الشخصي لأغراض رسمية.

تصيّد وهندسة اجتماعية

• استهداف حسابات المراسلة: حملة تصيّد تسعى للاستيلاء على حسابات Signal وWhatsApp عبر خداع المستخدمين للحصول على رموز الدخول.
• تنبيهات مزيفة على GitHub: رسائل تدعي ثغرات خطيرة في إضافات VS Code وتدفع لتحميل تحديثات خبيثة؛ مؤشر: drnatashachinn[.]com.
• احتيال عبر هواتف سحابية: استخدام أجهزة أندرويد افتراضية لتجاوز كشف الاحتيال البنكي بعد جمع رموز الدخول بهندسة اجتماعية.

توصيات

• تفعيل المصادقة الثنائية وعدم مشاركة رموز الدخول أو إتمام عمليات تحقق بتوجيه طرف ثالث.
• تجاهل الروابط الخارجية في تنبيهات المشاريع، والتحقق من الثغرات عبر القنوات الرسمية المعروفة داخل المنصات.
• تفعيل تنبيهات العمليات البنكية، والحذر من عروض دخل سهل أو نقل أموال لحساب ‘آمن’.