← العودة إلى المدونة
الإحاطة الأمنية4 min read2026-04-30

الإحاطة الأمنية، 30 أبريل 2026: باب خلفي في سلسلة توريد SAP npm، وتجاوز مصادقة cPanel، وثغرة Linux Copy Fail للوصول إلى root

موضوع هذا الصباح واضح: عندما تُسمَّم البنية الموثوقة، لا يحتاج المهاجمون إلى حيل معقدة.


الخلاصة السريعة: ثلاث قصص تستحق الانتباه الفوري هذا الصباح: حِزم npm الرسمية من SAP عُدلت لسرقة أسرار المطورين وبيئات CI، وcPanel وWHM أصدرا تصحيحاً طارئاً لتجاوز مصادقة خطير، ومطورو Linux يسابقون الزمن لإصلاح ثغرة تصعيد الصلاحيات الجديدة Copy Fail.


1. اختراق SAP npm يصيب أسرار المطورين وبيئات CI مباشرة

تم تعديل أربع حِزم npm رسمية من SAP مرتبطة بـ Cloud Application Programming Model وCloud MTA عبر سلسلة preinstall خبيثة. ووفقاً لـ BleepingComputer وAikido وSocket، تقوم الحمولة بتنزيل Bun وتشغيل stealer مموه والبحث عن رموز GitHub وnpm ومفاتيح SSH وبيانات اعتماد السحابة وأسرار Kubernetes ومتغيرات بيئة CI/CD. والأسوأ أنها تقرأ ذاكرة الـ runners مباشرة وتحاول الانتشار الذاتي عبر الرموز المسروقة.


2. تصحيح cPanel الطارئ لتجاوز المصادقة ليس صيانة اختيارية

أصدر cPanel وWHM تحديثاً طارئاً للثغرة CVE-2026-41940، وهي تجاوز مصادقة بدرجة خطورة 9.8 يؤثر تقريباً في كل الإصدارات المدعومة عدا الأحدث. وقد حظرت Namecheap مؤقتاً منافذ الإدارة المكشوفة قبل توفر التصحيحات، وهذا وحده يوضح مستوى الجدية. إذا دخل المهاجم إلى cPanel فسيحصل على المواقع والبريد وقواعد البيانات والإعدادات، وإذا دخل إلى WHM فقد يمتلك الخادم كله وكل المستأجرين عليه.


3. تمنح Copy Fail مهاجمي Linux طريقاً بسيطاً جداً إلى root بعد الاختراق

أفاد The Register بأن الثغرة الجديدة Copy Fail ‏(CVE-2026-31431) تسمح لمستخدم محلي غير مميز بكتابة أربعة بايتات متحكم بها داخل page cache لأي ملف قابل للقراءة وتحويل ذلك إلى صلاحيات root. إثبات المفهوم صغير جداً، ويتجنب إشارات مراقبة نظام الملفات التقليدية، كما أن الأثر لا يقتصر على الحواسيب الشخصية: الحاويات ذات النواة المشتركة وCI runners وخوادم Linux متعددة المستأجرين هي بالضبط الأماكن التي تتحول فيها الزيادة المحلية في الصلاحيات إلى خطر خارجي حقيقي بعد أي موطئ قدم أولي.

ما الذي يجب فعله اليوم

ابدأ بسلسلة توريد البرمجيات، ثم أغلق طبقات التحكم المستضافة المكشوفة، ثم صحح حدود الامتياز في Linux حيث يستطيع المهاجمون بالفعل تنفيذ كود. الفشل المشترك هنا هو الثقة العمياء في بنية تحتية افترض الجميع أنها آمنة سلفاً.

المصادر

  • BleepingComputer حول اختراق حِزم SAP npm الرسمية، مع أبحاث إضافية من Aikido وSocket.
  • BleepingComputer حول cPanel/WHM CVE-2026-41940 وإرشادات التصحيح الطارئ.
  • The Register حول CVE-2026-31431 “Copy Fail” مع مراجع تصحيحات Debian وUbuntu وSUSE وRed Hat.