→ العودة إلى المدونة
Security Briefing4 دقائق قراءة2026-04-24

الإحاطة الأمنية، 24 أبريل 2026: استغلال Breeze Cache، ومخاطر سلسلة التوريد في Bitwarden على npm، وC2 السحابي لدى GopherWhisper

الخيط المشترك اليوم بسيط: المهاجمون يربحون حيث يسلّم المدافعون الثقة بصمت إلى أطراف أو منصات لا يتم التشكيك فيها، سواء كانت إضافة ووردبريس أو حزمة npm أو منصة تعاون.


Top line: هناك ثلاث قصص مهمة هذا الصباح: مسار حقيقي للاستيلاء على مواقع ووردبريس يتعرض للاستغلال فعليًا، وقناة توزيع موثوقة للمطورين تعرضت للتسميم، ومجموعة تجسس مرتبطة بالصين تثبت مجددًا أن الخدمات السحابية الشرعية أصبحت غطاءً ممتازًا لاتصالات المهاجمين.


1. Breeze Cache يفتح مسارًا حيًا للاستيلاء على مواقع ووردبريس

يستغل المهاجمون بنشاط CVE-2026-3844 في إضافة Breeze Cache الخاصة بووردبريس. تعود المشكلة إلى غياب التحقق من نوع الملف في الدالة fetch_gravatar_from_remote، ما يسمح لمهاجم غير موثّق برفع ملفات عشوائية. وإذا كان خيار “Host Files Locally - Gravatars” مفعّلًا، فقد يتحول ذلك إلى تنفيذ تعليمات عن بُعد والسيطرة الكاملة على الموقع. الإضافة تعمل على أكثر من 400 ألف موقع نشط، وقد رصد Wordfence بالفعل نشاط استغلال.


2. تسميم Bitwarden CLI على npm هو تحذير أكبر بكثير بشأن الثقة في أدوات المطورين

كانت النسخة الخبيثة 2026.4.0 من الحزمة @bitwarden/cli متاحة لفترة قصيرة في 22 أبريل وتضمنت برمجية لسرقة أسرار المطورين. ويقول الباحثون إنها جمعت رموز npm وGitHub ومفاتيح SSH وبيانات اعتماد السحابة، ثم سرّبت البيانات عبر مستودعات GitHub يسيطر عليها المهاجمون. تؤكد Bitwarden أن بيانات الخزائن وأنظمة الإنتاج لم تتأثر، لكن أي بيئة ثبّتت هذه النسخة يجب التعامل معها على أنها مخترقة.


3. تداعيات Checkmarx وGopherWhisper تثبتان الفكرة نفسها: الخدمات الموثوقة أصبحت جزءًا من حرفة المهاجم

أثرت خرق سلسلة التوريد في Checkmarx KICS على صور Docker وإضافات المطورين، بينما يصف تقرير ESET عن GopherWhisper مجموعة مرتبطة بالصين تستخدم Outlook وSlack وDiscord وMicrosoft Graph API في القيادة والسيطرة ضد أهداف حكومية. الحملتان مختلفتان، لكن الدرس واحد: المهاجمون يختبئون داخل تدفقات التطوير والتعاون الطبيعية لأن المدافعين ما زالوا يمنحون هذه الخدمات ثقة ضمنية زائدة.


ما الذي يجب على فرق الأمن فعله اليوم

  1. صحّح Breeze Cache أو عطّل الميزة الخطرة فورًا، ثم ابحث عن مؤشرات الاختراق.
  2. إذا ثبّت أي فريق حزمة Bitwarden CLI الخبيثة من npm، فقم بتدوير الأسرار وإعادة بناء الثقة انطلاقًا من أنظمة نظيفة.
  3. دقّق في تعرض Checkmarx وأدوات المطورين المجاورة، خصوصًا سحب Docker والإضافات وCI runners.
  4. وسّع المراقبة لإساءة استخدام الخدمات السحابية عبر Outlook وMicrosoft Graph وSlack وDiscord بدل الاعتماد فقط على مؤشرات البرمجيات الخبيثة التقليدية.

المصادر


Bottom line: الخلاصة: المهاجمون لا يستغلون ثغرات البرمجيات فقط، بل يستغلون الثقة الافتراضية أيضًا. لهذا يجب أن تتضمن استجابة اليوم التصحيح، وتدوير الأسرار، ومراجعة أكثر صرامة للخدمات التي تعتمد عليها الفرق كل ساعة.

اعثر على كسور الثقة قبل أن تتحول إلى حوادث

تساعد KENSAI الفرق على كشف مسارات الهجوم المكشوفة عبر تطبيقات الويب وأدوات المطورين والهوية والأنظمة السحابية قبل أن تتحول فجوات الثقة الصغيرة إلى اختراقات مكلفة.

فحص مجاني →

ابقوا حادّين.

🗡️ KENSAI Security Team