أدى تغيير في إعدادات جوجل إلى تحويل مفاتيح API التي كانت آمنة سابقاً إلى مخاطر حرجة لتعرض البيانات لمستخدمي Gemini AI. كشفت شبكات Juniper عن ثغرة تسمح بالاستيلاء الكامل على جهاز التوجيه في أجهزة PTX. تعرض بائع التجزئة الأوروبي ManoMano لاختراق يؤثر على 38 مليون عميل. بالإضافة إلى: تصحيحات RCE حرجة في Trend Micro، وانخفاض مدفوعات برامج الفدية إلى مستويات قياسية، وحزم NuGet مزيفة تستهدف القطاع المالي.
يمكن الآن استخدام مفاتيح Google API للخدمات مثل خرائط جوجل التي كانت تعتبر منخفضة المخاطر عند تضمينها في كود العميل للمصادقة على مساعد Gemini AI والوصول إلى بيانات المستخدم الخاصة. هذا تغيير جذري في نموذج مصادقة Google API يؤثر على آلاف تطبيقات الويب.
لسنوات، قام المطورون بتضمين مفاتيح Google Maps API في كود JavaScript يمكن الوصول إليه علناً دون مخاوف أمنية كبيرة — كانت مفاتيح Maps API محدودة النطاق لخدمات معينة وتشكل مخاطر قليلة حتى عند كشفها.
غيّر دمج جوجل الأخير لقدرات Gemini AI نموذج التهديد. يمكن الآن استخدام نفس مفاتيح API للاستعلام عن Gemini والوصول المحتمل إلى:
هذا يمثل تصعيداً هائلاً في الامتيازات لمفاتيح API المكشوفة. ما كان في السابق مشكلة تجميلية (شخص يستخدم حصتك في الخرائط) أصبح الآن خرقاً للبيانات في انتظار الحدوث.
كشفت شبكات Juniper عن ثغرة حرجة في Junos OS Evolved الذي يعمل على أجهزة توجيه سلسلة PTX تسمح لمهاجم غير مصادق بتنفيذ كود عن بعد بصلاحيات الجذر.
تسمح الثغرة للمهاجمين بالحصول على تحكم كامل في أجهزة توجيه PTX، مما يمكّن من اعتراض الشبكة، والتلاعب بحركة المرور، والانتقال الجانبي إلى البنية التحتية المتصلة.
تُستخدم أجهزة توجيه سلسلة PTX كأجهزة توجيه أساسية عالية الأداء من قبل مزودي الاتصالات ومزودي خدمة الإنترنت والمؤسسات الكبيرة. يمكن لجهاز توجيه PTX المخترق:
هذه ثغرة من مستوى الدولة القومية إذا تم استغلالها في بيئات الاتصالات.
يقوم بائع التجزئة الأوروبي للأدوات والتحسينات المنزلية ManoMano بإخطار العملاء باختراق بيانات يؤثر على 38 مليون مستخدم في جميع أنحاء أوروبا. حدث الاختراق بسبب اختراق المهاجمين لمزود خدمة طرف ثالث.
تأثيرات NIS2: تعمل ManoMano في جميع أنحاء الاتحاد الأوروبي ومن المحتمل أن تندرج تحت نطاق NIS2 كمنصة تجارة إلكترونية رئيسية. سيختبر هذا الاختراق متطلبات الإبلاغ عن الحوادث الجديدة — يجب على الشركات الإبلاغ عن الحوادث المهمة خلال 24 ساعة بموجب NIS2.
يؤكد هذا الاختراق على سطح هجوم سلسلة التوريد الذي تستهدفه NIS2 على وجه التحديد. المؤسسات مسؤولة عن الوضع الأمني لبائعيها، والاختراقات من الأطراف الثالثة تحمل الآن عواقب تنظيمية.
أصلحت Trend Micro ثغرتين حرجتين في برنامج أمان نقطة النهاية المؤسسي Apex One تسمح للمهاجمين بالحصول على تنفيذ كود عن بعد على أنظمة Windows المعرضة للخطر.
Apex One هو منصة حماية نقاط النهاية — البرنامج المصمم لمنع هجمات RCE معرض بنفسه لـ RCE. المهاجمون الذين يستهدفون نشر Apex One يمكنهم:
إذا كانت حزمة الأمان الخاصة بك هي أضعف حلقة، فلديك مشكلة خطيرة في البنية.
إصدارات Trend Micro متاحة. يجب أن تكون هذه أولوية الترقيع P0 — طبقة حماية نقطة النهاية الخاصة بك هي بنية تحتية حرجة.
على الرغم من الارتفاع في هجمات برامج الفدية، انخفضت نسبة الضحايا الذين يدفعون الفدية إلى 28% في عام 2025 — وهو أدنى مستوى على الإطلاق وفقاً لتقارير استخبارات التهديدات المتعددة.
مجموعات برامج الفدية تتكيف. نحن نرى:
الانخفاض في المدفوعات أخبار جيدة للمدافعين، لكنه يدفع الجهات الفاعلة للتهديد لتطوير تكتيكاتها.
اكتشف الباحثون حزمة NuGet خبيثة باسم StripeApi.Net تنتحل شخصية مكتبة Stripe الرسمية Stripe.net (التي لديها أكثر من 75 مليون تنزيل).
StripePayments في 16 فبراير 2026تم إزالة الحزمة منذ ذلك الحين، لكن التطبيقات المتأثرة قد تكون قد سربت بيانات اعتماد معالجة الدفع.
تسمح مفاتيح Stripe API للمهاجمين بـ:
فرق التطوير: راجعوا ملفات packages.config و .csproj للبحث عن StripeApi.Net. إذا وجدت، قم بتدوير جميع مفاتيح Stripe API فوراً.
أكد نادي كرة القدم الفرنسي المحترف أوليمبيك دو مرسيليا تعرضه لهجوم إلكتروني بعد أن ادعت الجهات الفاعلة للتهديد يوم الاثنين اختراق أنظمة النادي في وقت سابق من هذا الشهر وتسريب بيانات داخلية.
يتم استهداف المنظمات الرياضية بشكل متزايد من أجل:
✅ كشف تعرض مفاتيح API — فحص المستودعات وقواعد الأكواد للبحث عن بيانات اعتماد مشفرة
✅ مراقبة سلسلة التوريد — تتبع الحزم الخبيثة عبر NuGet و npm و PyPI و Maven
✅ تنبيهات CVE حرجة — احصل على إشعارات عندما يصدر بائعون مثل Juniper أو Trend Micro تصحيحات طارئة
✅ الامتثال لـ NIS2 — تقارير الحوادث باللغة الألمانية وتوثيق الثغرات الآلي
أكثر من 332,000 CVE مفهرس. تصحيحات مولدة بالذكاء الاصطناعي. أتمتة GitHub PR.
ابدأ النسخة التجريبية المجانيةابق آمناً. ابق يقظاً.
🗡️ فريق أمن KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →