ملخص تهديدات الأمن السيبراني07-04-2026

يوم حافل بثغرات تنفيذ أوامر عن بُعد واستغلالات سريعة، مع تصاعد هجمات سلسلة التوريد والتصيّد للاستحواذ على الحسابات. تبرز تحركات فدية تستغل 0-day وتسريبات بيانات حساسة، إلى جانب مخاطر جديدة تطال وكلاء الذكاء الاصطناعي ومعالجات الرسوميات.

ثغرات وتحديثات أمنية حرجة

• CUPS: ثغرتان تؤثران على الإصدار 2.4.16 تسمحان بتنفيذ أوامر عن بُعد وكتابة ملفات كجذر عند الجمع بينهما. الثغرات: CVE-2026-34980 وCVE-2026-34990. لا تحديثات رسمية بعد، مع وجود إصلاحات في المستودع.
• FortiClient EMS: ثغرة حرجة تسمح بتنفيذ أوامر عن بُعد بدون مصادقة، مع استغلال فعلي في الهجمات. المتأثر: 7.4.5 و7.4.6 فقط، و7.2 غير متأثر. الثغرة: CVE-2026-35616.
• Apache Traffic Server: ثغرتان تؤديان إلى حجب خدمة وتهريب طلبات HTTP ضمن الإصدارات 9.x و10.x. التحديثات تصلح CVE-2025-58136 وCVE-2025-65114، مع حل مؤقت لتعطيل التخزين المؤقت للطلبات لهجمة DoS.
• BlueHammer في ويندوز: ثغرة تصعيد صلاحيات محلية غير مرقعة تُمكّن من الوصول إلى مستوى SYSTEM باستغلال خلل توقيت ومسار وقاعدة بيانات SAM.
• Claude Code: تجاوز لقواعد الأمان عبر إقحام أكثر من 50 مهمة فرعية ثم أمر ضار، تم إصلاحه في الإصدار v2.1.90.
• GPUBreach: هجوم يعتمد Rowhammer على ذاكرة GDDR6 لبطاقات NVIDIA قد يقود لتصعيد صلاحيات، مع حماية محدودة من IOMMU وفعالية جزئية لـ ECC.
• وكلاء الذكاء الاصطناعي: ستة أنماط هجمات عبر الويب تشمل حقن التعليمات والتلاعب الدلالي وتخريب الذاكرة والتحكم السلوكي قد تدفع الوكيل لتنفيذ أوامر أو تسريب بيانات.

توصيات

• متابعة تحديثات CUPS وتطبيق إصلاحات المستودع، وتقليل مشاركة الطابعات وتقييد الوصول.
• تثبيت تصحيحات FortiClient EMS فوراً والانتقال إلى إصدار يحتوي إصلاح دائم.
• تحديث Apache Traffic Server إلى الإصدارات الموصى بها، واستخدام الحل المؤقت لهجمة DoS عند الحاجة.
• في ويندوز: تجنب تشغيل برمجيات غير موثوقة ومراقبة الحسابات لحين صدور إصلاح.
• تحديث Claude Code، وتقليل صلاحياته ومراقبة الاتصالات الخارجية.
• تفعيل ECC إن توفر، وتحديث تعريفات NVIDIA وتجنب تشغيل أكواد CUDA غير موثوقة.

هجمات سلسلة التوريد والبرمجيات الخبيثة على منظومات التطوير

• استهداف مشرفي حزم Node.js: هندسة اجتماعية عبر دعوات مزيفة على Slack وTeams لتثبيت تحديثات وهمية زرعت RAT ونشرت حزم NPM خبيثة، مع استهداف سابق لحزمة Axios.
• إضافات Strapi خبيثة في NPM: 36 حزمة مزيفة نفذت أوامر عن بُعد واستغلت Redis وDocker للهروب من الحاويات وزرع مفاتيح SSH وwebshells وسرقة أسرار Guardarian، مع قنوات shell عكسي على منفذ 4444 واستهداف حاويات prod-strapi.
• استغلال GitHub Actions: آلاف المستودعات تعرضت لمحاولات سرقة أسرار عبر إعداد غير آمن لـ pull_request_target وتشغيل كود غير موثوق، وحقن شيفرات ضارة في conftest.py وpackage.json وMakefile لتسرّب رموز GitHub وAWS وCloudflare.
• حزمة PyPI hermes-px: مكتبة خبيثة تدّعي وكيل ذكاء اصطناعي آمن لكنها توجه الطلبات إلى prod.universitecentrale.net:9443 وتحقن تعليمات وتسرب المحادثات إلى قاعدة Supabase. المؤشرات: hermes-px.
• برمجيات معيارية لكوريا الشمالية: تقسيم الهجمات إلى مسارات التجسس والسرقة المالية والتخريب مع تبديل سريع للبنية التحتية والأدوات لإطالة البقاء.

توصيات

• التحقق من هوية الدعوات والتحديثات وعدم تثبيت أي برمجيات خارج القنوات الرسمية، وتفعيل المصادقة الثنائية.
• تدقيق إضافات Strapi وحذف المشبوه منها، وفحص مهام cron وملفات /tmp/ وتدوير الأسرار.
• تأمين CI عبر تعطيل تشغيل كود الفروع غير الموثوقة مع pull_request_target وتقليل صلاحيات GITHUB_TOKEN ومراجعة الطلبات يدوياً.
• حذف hermes-px وتدوير جميع الأسرار وحظر نطاقات التسريب.

التصيّد والهندسة الاجتماعية والاستحواذ على الحسابات

• استغلال تدفق رموز الأجهزة: حملة واسعة تتجاوز MFA عبر رموز أجهزة ديناميكية وأدوات مثل EvilToken، مع إخفاء الهجمات عبر منصات سحابية. المؤشرات: 160.220.232.0 160.220.234.0 89.150.45.0 185.81.113.0.
• تصيّد عبر تنبيهات طوارئ مزيفة: رسائل تزعم هجوماً صاروخياً وتستخدم رموز QR لسرقة حسابات مايكروسوفت. المؤشر: ministry.sharedfilescorps.com.
• تصيّد يستهدف مستخدمي واتساب على ويندوز: روابط خبيثة لسرقة بيانات الدخول أو تثبيت برمجيات ضارة.
• اتجاهات: أكثر من 21٪ من رسائل التصيّد خلال الربع الأول 2026 اعتمدت آليات التحويل لخداع الضحايا وتجاوز الفحص، مع نسب شهرية متفاوتة.

توصيات

• تعطيل تدفق رموز الأجهزة عند عدم الضرورة، وتفعيل سياسات مكافحة التصيّد وسحب الرموز المميزة المشبوهة.
• عدم مسح رموز QR غير الموثوقة، والتأكد من إدخال الاعتمادات في المواقع الرسمية فقط.
• تجنّب الروابط المشبوهة في تطبيقات المراسلة، وتفعيل التحقق بخطوتين وتحديث الأنظمة.

الفدية والابتزاز

• Medusa: استغلال ثغرات n-day و0-day لتنفيذ هجمات فدية خلال 24 ساعة، مع استخدام أدوات إدارة عن بُعد شرعية. ثغرات بارزة: CVE-2026-23760 CVE-2025-10035 إضافة إلى CVE-2023-21529 CVE-2023-27351 CVE-2023-27350 CVE-2023-46805 CVE-2024-21887 CVE-2024-1709 CVE-2024-1708 CVE-2024-27198 CVE-2024-27199 CVE-2024-57726 CVE-2024-57727 CVE-2024-57728 CVE-2025-31161 CVE-2025-52691 CVE-2026-1731.
• REvil وGandCrab: تحديد هوية مشتبهين بقيادة العصابتين بعد هجمات فدية عديدة وأضرار مالية كبيرة.

توصيات

• تسريع إدارة التصحيحات، وتعطيل أدوات الإدارة عن بُعد غير الضرورية، ومراجعة الحسابات الجديدة ومراقبة الشبكة، والاعتماد على نسخ احتياطية معزولة.

تسريبات واختراقات بيانات

• DocketWise وشركة محاماة هجرة: اختراق أدى لتسريب بيانات تعريفية ومالية وطبية بعد استنساخ مستودعات طرف ثالث ببيانات اعتماد صحيحة، وحاوية Amazon غير مؤمنة كشفت نحو 111 ألف ملف.

توصيات

• مراقبة الحسابات البنكية وتغيير كلمات المرور والحذر من رسائل تصيّد أو محاولات احتيال لاحقة.