ملخص تهديدات الأمن السيبراني04-04-2026

يوم حافل بهجمات سلسلة التوريد واستغلال ثغرات حرجة، مع موجة برمجيات خبيثة تستهدف أندرويد وماك. بالتوازي، برزت تحديثات أمنية مهمة لويندوز ومنتجات خوادم، وتصاعدت حملات تصيد تستهدف حسابات العمل.

هجمات سلسلة التوريد

اختراق Axios على npm

  • نشر نسختين خبيثتين في 31 مارس 2026: v1.14.1 وv0.30.4 تضمنت تبعية خبيثة plain-crypto-js تعمل بعد التثبيت وتثبت RAT على Linux وmacOS وWindows.
  • استغل المهاجمون حملة هندسة اجتماعية لاختطاف جلسات والوصول إلى حسابات npm وGitHub.

اختراق LiteLLM على PyPI وتسريب Mercor

  • نشر نسخ ضارة من LiteLLM لمدة 40 دقيقة بالإصدارات LiteLLM 1.82.7 وLiteLLM 1.82.8 عبر TeamPCP وLapsus$.
  • تسريب بيانات مرشحين، تعريفية، أصحاب عمل، شيفرات، مفاتيح API وأسرار تقنية، وتأثر آلاف المؤسسات المعتمدة على التحديثات التلقائية.

Trivy والاستهداف الأوسع

  • ثغرة CVE-2026-33634 في Trivy استُخدمت ضمن حملة TeamPCP؛ أُبلغ عن تسريب 340 جيجابايت و52,000 بريد يخص 71 جهة أوروبية، إضافة إلى اختراق Sportradar وتسريبات واسعة.
  • حادثة منفصلة: اختراق منصات مواقع المفوضية الأوروبية عبر Trivy أدى إلى تسريب نحو 91.7 جيجابايت ونشرها من قبل ShinyHunters.

تنبيهات لسلاسل التوريد

  • تنفيذ سكربتات npm أثناء التثبيت يتيح زرع برمجيات خبيثة؛ الخطر يمتد لمديري حزم أخرى مثل pip وcargo، وقد يستهدف مفاتيح SSH والأسرار وبيانات الجلسات.

توصيات

  • إرجاع Axios إلى نسخ آمنة v1.14.0 أو v0.30.3 وحذف التبعية الخبيثة.
  • التحقق من وجود الإصدارات LiteLLM 1.82.7 و1.82.8 وحذفها، وتدوير مفاتيح API وكلمات المرور.
  • مراجعة ملفات package.json وpackage-lock.json وyarn.lock وملفات .pth في Python.
  • منع السكربتات أثناء التثبيت باستخدام npm install --ignore-scripts وتنفيذ التثبيت داخل حاويات معزولة.
  • مراقبة الاتصالات إلى sfrclak[.]com و142.11.206[.]73 ورصد أي نشاط RAT.
  • تفعيل MFA على حسابات npm وPyPI وGitHub ومراجعة سلسلة التوريد والصلاحيات في CI\CD.

المؤشرات الفنية

  • 142.11.206.73, sfrclak[.]com, checkmarx[.]zone, models[.]litellm[.]cloud
  • e10b1fa84f1d6481625f741b69892780140d4e0e7769e7491e5f4d894c2e0e09
  • fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af135a8402bf980375cf
  • 617b67a8e1210e4fc87c92d1d1da45a2f311c08d26e89b12307cf583c900d101
  • 92ff08773995ebc8d55ec4b8e1a225d0d1e51efa4ef88b8849d0071230c9645a
  • ed8560c1ac7ceb6983ba995124d5917dc1a00288912387a6389296637d5f815c
  • e56bafda15a624b60ac967111d227bf8, 21d2470cae072cf2d027d473d168158c, cde4951bee7e28ac8a29d33d34a41ae5, f5560871f6002982a6a2cc0b3ee739f7

ثغرات وتحديثات أمنية

ويندوز: تحديثات مارس وأبريل 2026

  • إزالة الثقة عن تعريفات النواة الموقعة بالجذر المتقاطع القديم بدءاً من أبريل 2026.
  • تحديثات Secure Boot تضيف أوامر PowerShell لعرض الشهادات والتحقق من إصدار أمان البرمجيات الثابتة، مع مؤشرات جديدة في تطبيق أمان ويندوز.
  • تعزيز أمان خدمة النشر WDS بتعطيل النشر التلقائي افتراضياً بسبب CVE-2026-0386.
  • إتاحة وظائف Sysmon ضمن النظام وتحديثات الطباعة باعتماد تعريف موحد.

Progress ShareFile

  • ثغرتان عاليتا الخطورة في ShareFile Storage Zone Controller تسمحان بتجاوز التحقق ورفع ملفات خبيثة: CVE-2026-2699 وCVE-2026-2701. التحديث الموصى به إلى 5.12.4 أو أحدث.

Cisco IMC

  • CVE-2026-20093 تتيح تغيير كلمات المرور عبر تجاوز المصادقة. ثغرات إضافية من نوع XSS وتنفيذ أوامر ورفع صلاحيات: CVE-2026-20085, CVE-2026-20087 حتى CVE-2026-20090، وCVE-2026-20094 حتى CVE-2026-20097، إضافة إلى CVE-2025-20261.

TrueConf يوم-صفر

  • CVE-2026-3502 يتيح تنفيذ تعليمات برمجية عبر تحديثات غير مُتحقَّق منها، مع استخدام بنية C2 مرتبطة بإطار Havoc.

OpenClaw

  • ثغرة حرجة CVE-2026-33579 تمنح صلاحيات إدارية كاملة لأي صاحب صلاحية pairing، مع نسب كبيرة من النسخ المكشوفة دون مصادقة.

توصيات

  • تثبيت تحديثات ويندوز لشهري مارس وأبريل 2026، ومراجعة حالة Secure Boot والشهادات.
  • تحديث ShareFile إلى 5.12.4+ ومراجعة السجلات والبحث عن webshells.
  • تحديث Cisco IMC وعزل واجهات الإدارة عن الإنترنت.
  • تحديث TrueConf إلى 8.5.3 وفحص الخوادم لنشاط مشبوه.
  • تحديث OpenClaw، مراجعة سجل الموافقات وإلزام المصادقة.

برمجيات خبيثة وحملات تجسس

NoVoice على أندرويد

  • برمجية خبيثة ضمن أكثر من 50 تطبيق في Google Play مع 2.3 مليون تحميل، تستغل ثغرات قديمة لتثبيت Rootkit يمنح سيطرة كاملة ويصعب إزالته.

Mirax المصرفية على أندرويد

  • برمجية للإيجار تستهدف أكثر من 700 تطبيق مالي عبر واجهات مزورة وسرقة بيانات حساسة.

Infiniti Stealer على ماك

  • ينتشر عبر تصيد ونوافذ تحقق مزيفة ويدفع المستخدم للصق أوامر في Terminal لتثبيت سارق معلومات متخفي.

Kimsuky عبر ملفات LNK

  • سلسلة متعددة المراحل تبدأ بملف LNK وتشغّل PowerShell وسكربتات XML وVBS وPS1 وBAT، مع استخدام Task Scheduler وDropbox للاستمرارية والتسريب ثم تنزيل باب خلفي بايثون.

استغلال تسريب Claude Code

  • مستودعات GitHub مزيفة توزع أرشيفات خبيثة تضم ملف ClaudeCode_x64.exe يعمل كـ dropper لنشر Vidar وGhostSocks.

توصيات

  • تحديث أنظمة أندرويد وماك وفحص الأجهزة ببرامج حماية موثوقة وتفعيل المصادقة الثنائية.
  • تجنب تثبيت تطبيقات غير معروفة وعدم فتح ملفات LNK أو مستندات مشبوهة.
  • مراقبة المهام المجدولة والمجلدات C:\\windirr وC:\\winii واتصالات Dropbox غير المعتادة.

مؤشرات Kimsuky

  • 45.95.186.232:8080, qugesr[.]online, quickcon[.]store, C:\\windirr, C:\\winii

تصيد وهندسة اجتماعية

  • عروض عمل مزيفة تنتحل شركات كبرى مثل Coca-Cola وFerrari لسرقة بيانات Google Workspace أو حسابات فيسبوك عبر نوافذ تسجيل دخول وهمية.

توصيات

  • تجنب روابط التوظيف غير المتوقعة وعدم إدخال كلمات المرور في صفحات جدولة المقابلات.
  • التحقق من عناوين المواقع وتغيير كلمات المرور وتفعيل التحقق الثنائي عند الاشتباه.

مؤشرات التصيد

  • hrguxhellito281.onrender.com

اختراقات وتسريبات

  • اختراق Drift Protocol على سولانا بقيمة 285 مليون دولار مع أنماط تحويل مرتبطة بجهات كورية شمالية مزعومة.

توصيات

  • تجنب استخدام المنصة حتى صدور تحديثات أمنية، مراقبة الأرصدة وتفعيل المصادقة الثنائية.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون