الخيط المشترك اليوم بسيط: المهاجمون يربحون حيث يسلّم المدافعون الثقة بصمت إلى أطراف أو منصات لا يتم التشكيك فيها، سواء كانت إضافة ووردبريس أو حزمة npm أو منصة تعاون.
Top line: هناك ثلاث قصص مهمة هذا الصباح: مسار حقيقي للاستيلاء على مواقع ووردبريس يتعرض للاستغلال فعليًا، وقناة توزيع موثوقة للمطورين تعرضت للتسميم، ومجموعة تجسس مرتبطة بالصين تثبت مجددًا أن الخدمات السحابية الشرعية أصبحت غطاءً ممتازًا لاتصالات المهاجمين.
يستغل المهاجمون بنشاط CVE-2026-3844 في إضافة Breeze Cache الخاصة بووردبريس. تعود المشكلة إلى غياب التحقق من نوع الملف في الدالة fetch_gravatar_from_remote، ما يسمح لمهاجم غير موثّق برفع ملفات عشوائية. وإذا كان خيار “Host Files Locally - Gravatars” مفعّلًا، فقد يتحول ذلك إلى تنفيذ تعليمات عن بُعد والسيطرة الكاملة على الموقع. الإضافة تعمل على أكثر من 400 ألف موقع نشط، وقد رصد Wordfence بالفعل نشاط استغلال.
كانت النسخة الخبيثة 2026.4.0 من الحزمة @bitwarden/cli متاحة لفترة قصيرة في 22 أبريل وتضمنت برمجية لسرقة أسرار المطورين. ويقول الباحثون إنها جمعت رموز npm وGitHub ومفاتيح SSH وبيانات اعتماد السحابة، ثم سرّبت البيانات عبر مستودعات GitHub يسيطر عليها المهاجمون. تؤكد Bitwarden أن بيانات الخزائن وأنظمة الإنتاج لم تتأثر، لكن أي بيئة ثبّتت هذه النسخة يجب التعامل معها على أنها مخترقة.
أثرت خرق سلسلة التوريد في Checkmarx KICS على صور Docker وإضافات المطورين، بينما يصف تقرير ESET عن GopherWhisper مجموعة مرتبطة بالصين تستخدم Outlook وSlack وDiscord وMicrosoft Graph API في القيادة والسيطرة ضد أهداف حكومية. الحملتان مختلفتان، لكن الدرس واحد: المهاجمون يختبئون داخل تدفقات التطوير والتعاون الطبيعية لأن المدافعين ما زالوا يمنحون هذه الخدمات ثقة ضمنية زائدة.
Bottom line: الخلاصة: المهاجمون لا يستغلون ثغرات البرمجيات فقط، بل يستغلون الثقة الافتراضية أيضًا. لهذا يجب أن تتضمن استجابة اليوم التصحيح، وتدوير الأسرار، ومراجعة أكثر صرامة للخدمات التي تعتمد عليها الفرق كل ساعة.
تساعد KENSAI الفرق على كشف مسارات الهجوم المكشوفة عبر تطبيقات الويب وأدوات المطورين والهوية والأنظمة السحابية قبل أن تتحول فجوات الثقة الصغيرة إلى اختراقات مكلفة.
فحص مجاني →ابقوا حادّين.
🗡️ KENSAI Security Team