← العودة إلى المدونة
إحاطة أمنية5 دقائق قراءة2026-05-06

الإحاطة الأمنية، 6 مايو 2026: Quasar Linux وسلسلة توريد DAEMON Tools وتداعيات Instructure وسرقة OTP عبر CloudZ

النمط هذا الصباح هو إساءة استخدام الثقة في كل طبقة: محطات عمل المطورين، والمثبّتات الموقعة، وعمليات تصدير بيانات SaaS، وجسور الربط بين الحاسوب والهاتف تحولت كلها إلى مسارات هجوم عندما افترضت الفرق أن الأدوات المألوفة آمنة بطبيعتها.


الخلاصة المباشرة: ابحثوا فوراً عن سرقة بيانات اعتماد المطورين، واعزلوا أي تثبيت لـ DAEMON Tools على ويندوز، واضغطوا على مزودي التعليم السحابي لتقديم أدلة على مستوى المستأجر، وتوقفوا عن اعتبار OTP عبر الرسائل القصيرة ضابطاً قوياً عندما يكون الجهاز نفسه مخترقاً.


1. Quasar Linux يحول بيئات التطوير إلى منصات انطلاق لهجمات سلسلة التوريد

تقول Trend Micro إن الزرعة QLNX غير الموثقة سابقاً صُممت للبقاء الخفي داخل بيئات المطورين وDevOps المرتبطة بـ npm وPyPI وGitHub وAWS وDocker وKubernetes. البرمجية الخبيثة تبني مكونات rootkit وPAM backdoor على الجهاز نفسه، وتعمل بلا ملفات، وتمسح آثارها، وتسرق بيانات الاعتماد الأقرب إلى سلسلة تسليم البرمجيات.


2. حادثة DAEMON Tools تؤكد أن البرنامج الموقّع من الموقع الرسمي ليس كافياً وحده

وجدت Kaspersky أن مثبّتات ويندوز الخاصة بـ DAEMON Tools كانت ملوثة على الموقع الشرعي للمورّد وموقعة بالشهادات الحقيقية للشركة. السلسلة المخترقة تُسقط أدوات لتجميع معلومات المضيف وباباً خلفياً قادراً على تنفيذ الأوامر والحمولات داخل الذاكرة، مع آلاف محاولات العدوى لكن توزيع المرحلة التالية كان انتقائياً.


3. تداعيات Instructure تتحول إلى مشكلة حوكمة بيانات على مستوى المستأجر

ذكرت BleepingComputer أن الجهة وراء حادثة Instructure تزعم سرقة 280 مليون سجل مرتبط بـ 8,809 مدارس وجامعات ومنصات تعليمية. لم يُتحقق من ذلك بشكل مستقل بالكامل بعد، لكن الحجم المزعوم وحده يكفي لفرض مراجعة من جانب العملاء، خصوصاً أن المسار المزعوم اعتمد على وظائف Canvas الشرعية الخاصة بالتصدير وواجهات API بدلاً من تخريب الخدمة بشكل واضح.


4. CloudZ يوضح لماذا ينهار OTP عبر الرسائل عندما يمتلك الجهاز جسر المزامنة

يقول Cisco Talos إن إضافة جديدة من CloudZ تُدعى Pheno تسرق رسائل SMS وإشعارات تطبيقات التحقق عبر إساءة استخدام Microsoft Phone Link على أجهزة ويندوز المخترقة. لا يحتاج المهاجم إلى السيطرة الكاملة على الهاتف إذا كان الحاسوب يملك بالفعل مساراً متزامناً إلى قواعد بيانات الرسائل والإشعارات.


ما الذي يجب على فرق الأمن فعله اليوم

  1. ابدؤوا بتدقيق أجهزة المطورين وأنظمة Linux القريبة من CI؛ نطاق التأثير أكبر بكثير من جهاز واحد.
  2. امسحوا بيئات ويندوز بحثاً عن التعرض لـ DAEMON Tools، وافترضوا أن أي مثبّت موثوق قد يتحول إلى حادثة إذا تم اختراق توقيع المورّد.
  3. اطلبوا من مزودي التعليم وSaaS أدلة خاصة بكل مستأجر، لا بيانات عامة، خصوصاً حول التصدير والوصول إلى API.
  4. قللوا الاعتماد على OTP عبر الرسائل القصيرة، وأدخلوا أدوات مزامنة الحاسوب والهاتف في نمذجة تهديدات الهوية.

المصادر


الخلاصة: خطر اليوم ليس فقط في ثغرات يوم الصفر الغريبة، بل في الأنظمة المألوفة التي ورثت كثيراً من الثقة بصمت. الخطوة الصحيحة هي التحقق من مسار البرمجيات ومسار الهوية ومسار المزامنة قبل أن يستغل المهاجمون الثلاثة معاً.

اعثر أولاً على مسارات الثقة التي سيستغلها المهاجمون

تساعد KENSAI الفرق على رسم خريطة لأنظمة التطوير المكشوفة والتبعيات الخطرة وتدفقات الهوية الضعيفة وأسقف المزامنة المخفية قبل أن تتحول الأدوات اليومية إلى مسار اختراق.

ابدأ فحصاً مجانياً →

ابقَ حاداً.

🗡️ KENSAI Security Team