موضوع هذا الصباح واضح: عندما تُسمَّم البنية الموثوقة، لا يحتاج المهاجمون إلى حيل معقدة.
الخلاصة السريعة: ثلاث قصص تستحق الانتباه الفوري هذا الصباح: حِزم npm الرسمية من SAP عُدلت لسرقة أسرار المطورين وبيئات CI، وcPanel وWHM أصدرا تصحيحاً طارئاً لتجاوز مصادقة خطير، ومطورو Linux يسابقون الزمن لإصلاح ثغرة تصعيد الصلاحيات الجديدة Copy Fail.
تم تعديل أربع حِزم npm رسمية من SAP مرتبطة بـ Cloud Application Programming Model وCloud MTA عبر سلسلة preinstall خبيثة. ووفقاً لـ BleepingComputer وAikido وSocket، تقوم الحمولة بتنزيل Bun وتشغيل stealer مموه والبحث عن رموز GitHub وnpm ومفاتيح SSH وبيانات اعتماد السحابة وأسرار Kubernetes ومتغيرات بيئة CI/CD. والأسوأ أنها تقرأ ذاكرة الـ runners مباشرة وتحاول الانتشار الذاتي عبر الرموز المسروقة.
أصدر cPanel وWHM تحديثاً طارئاً للثغرة CVE-2026-41940، وهي تجاوز مصادقة بدرجة خطورة 9.8 يؤثر تقريباً في كل الإصدارات المدعومة عدا الأحدث. وقد حظرت Namecheap مؤقتاً منافذ الإدارة المكشوفة قبل توفر التصحيحات، وهذا وحده يوضح مستوى الجدية. إذا دخل المهاجم إلى cPanel فسيحصل على المواقع والبريد وقواعد البيانات والإعدادات، وإذا دخل إلى WHM فقد يمتلك الخادم كله وكل المستأجرين عليه.
أفاد The Register بأن الثغرة الجديدة Copy Fail (CVE-2026-31431) تسمح لمستخدم محلي غير مميز بكتابة أربعة بايتات متحكم بها داخل page cache لأي ملف قابل للقراءة وتحويل ذلك إلى صلاحيات root. إثبات المفهوم صغير جداً، ويتجنب إشارات مراقبة نظام الملفات التقليدية، كما أن الأثر لا يقتصر على الحواسيب الشخصية: الحاويات ذات النواة المشتركة وCI runners وخوادم Linux متعددة المستأجرين هي بالضبط الأماكن التي تتحول فيها الزيادة المحلية في الصلاحيات إلى خطر خارجي حقيقي بعد أي موطئ قدم أولي.
ابدأ بسلسلة توريد البرمجيات، ثم أغلق طبقات التحكم المستضافة المكشوفة، ثم صحح حدود الامتياز في Linux حيث يستطيع المهاجمون بالفعل تنفيذ كود. الفشل المشترك هنا هو الثقة العمياء في بنية تحتية افترض الجميع أنها آمنة سلفاً.