ملخص تهديدات الأمن السيبراني05-04-2026

صورة اليوم تُظهر تصاعدًا في هجمات الهندسة الاجتماعية على مشرفي مشاريع مفتوحة المصدر وما نتج عنها من تهديدات سلسلة التوريد، إلى جانب ثغرات مُستغلة نشطًا تستهدف منصات مؤسسية ومستهلكين. كما برزت موجة تصيّد عبر رموز الأجهزة وظهرت مؤشرات بنية تحكم وسيطرة لبرمجيات خبيثة، مع تسريبات واختراقات لبيانات حساسة.

التصيّد والهندسة الاجتماعية وسلسلة التوريد

• حملات تصيّد معقّدة تستهدف مشرفي حزم npm/Node.js عبر LinkedIn وSlack بانتحال صفة مجنّدين أو بودكاست، وإرسال روابط مزيفة تبدو كـ Teams أو Zoom لدفع الضحية لتحميل «إصلاح» مزعوم هو فعليًا RAT، بهدف سرقة بيانات الدخول ودفع شيفرة خبيثة إلى تحديثات رسمية لمشاريع واسعة الاستخدام مثل Axios وMocha وdotenv وLodash. المجموعة المنفذة: UNC1069 (كوريا الشمالية).
• آلية الهجوم تشمل تثبيت حصان طروادة للوصول عن بعد خفيًا وسرقة رموز النشر وبيانات الجلسة وبيانات AWS، ما يمكّن من نشر تحديثات خبيثة تلقائيًا.
• استهداف مباشر لمكتبة Axios عبر نشر إصدارات خبيثة لفترة تقارب 3 ساعات: 1.14.1 و0.30.4، دون تعديل الكود المصدري بل عبر حقن تبعية خبيثة باسم plain-crypto-js، مع إصابة أنظمة macOS وWindows وLinux.

مؤشرات فنية

• teams.onlivemeet.com
• WAVESHAPER وHYPERCALL
• إصدارات Axios: 1.14.1 و0.30.4، وتبعية plain-crypto-js

توصيات

• عدم الوثوق بدعوات غير متوقعة تتطلب تثبيت برامج؛ والتحقق من هوية المتواصلين.
• عدم تنفيذ أوامر أو تثبيت برمجيات من خارج القنوات الرسمية؛ وتمكين مراقبة الأجهزة.
• تدوير رموز النشر وكلمات المرور وتفعيل 2FA فور الاشتباه؛ وتحديث الحزم والأنظمة باستمرار.

الثغرات والتحديثات الأمنية

• iOS 18: هجوم DarkSword يستغل زيارة موقع ويب ضار للسيطرة على الجهاز، مع رصد استغلال نشط منذ مارس، وقد أصدرت آبل تحديثات أمنية عاجلة. المتأثرون: أجهزة آيفون على iOS 18 غير المُحدّثة.
• FortiClient EMS: ثغرة يوم صفر CVE-2026-35616 تُمكّن من تجاوز التوثيق وتنفيذ أوامر عبر واجهة API، تؤثر على الإصدارات 7.4.5 و7.4.6 فقط، مع استغلال فعلي وتحديثات عاجلة من Fortinet.

توصيات

• تحديث iOS فورًا وتجنّب الروابط غير الموثوقة.
• تحديث FortiClient EMS فورًا بالتصحيحات العاجلة أو الانتظار للإصدار 7.4.7 الذي يتضمن الحل.

البرمجيات الخبيثة والبنية التحتية C2

• استغلال تسريب شفرة «Claude Code» عبر مستودعات GitHub مزيفة لنشر برمجية سرقة المعلومات Vidar، مع استهداف مطورين يبحثون عن الأداة. النتيجة: سرقة كلمات المرور وبيانات الدخول من الأجهزة المصابة.
• قائمة حديثة لنطاقات وأكواد MD5 مرتبطة بخوادم تحكم وسيطرة لبرمجيات خبيثة يُعتقد أن أعضاء منتدى XSS يستخدمونها.

مؤشرات فنية

• 206.su auto-key.org devilz.co c0p1.com bookdeel.in وغيرها.

توصيات

• تنزيل الأدوات من المصادر الرسمية فقط، وتحديث حلول الحماية وفحص الأجهزة عند الاشتباه.
• تجنب فتح الروابط المشبوهة، وتفعيل فحوصات دورية لكشف الاتصالات مع نطاقات C2.

تصيّد باستخدام رموز الأجهزة

• ارتفاع كبير (37 مرة) في هجمات تستغل ميزة OAuth 2.0 Device Authorization: يرسل المهاجم رمز جهاز ويطلب إدخاله في صفحة دخول رسمية لمنح وصول كامل للحساب.
• الاستهداف يشمل خدمات سحابية مثل Microsoft 365، مع أدوات جاهزة مثل EvilTokens وVENOM، وغالبًا برسائل تنتحل خدمات معروفة مثل DocuSign أو Office 365.

توصيات

• تعطيل Device Code إذا لم تكن ضرورية، ومراقبة سجلات دخول الأجهزة الجديدة، وتفعيل سياسات وصول مشروطة.

تسريبات/اختراقات بيانات

• تسريب بيانات محتمل لمنصة تداول فوركس: مُخترق يدّعي امتلاكه بيانات 438,000 مستخدم و185,000 سجل معاملات (بريد إلكتروني، أسماء مستخدمين، معرّفات مستخدم/معاملة، أرقام مرجعية، مبالغ دفع)، دون تأكيد المصدر أو نشر رابط تحميل حتى الآن.
• حادثة اختراق عبر آلة قهوة ذكية: استغلال كلمة مرور افتراضية ونظام قديم وغياب جدار حماية للتسلل وتسريب بيانات الشركة مع كل استخدام للجهاز، ما يبرز خطورة الأجهزة الذكية غير المُدارة داخل الشبكات.

توصيات

• لمستخدمي منصة الفوركس: مراقبة الحسابات المالية، تفعيل التحقق بخطوتين، الحذر من محاولات الاحتيال، وتغيير كلمات المرور عند ظهور إشارات اختراق.
• للمنظمات: تغيير كلمات المرور الافتراضية، تحديث برمجيات الأجهزة الذكية، عزلها عن الشبكات الحساسة، وإدراجها ضمن خطط المراقبة الأمنية.