剣 KENSAI
← Back to archive

الإحاطة اليومية للتهديدات

2026-03-18 · الثلاثاء · الأسبوع 12
مستوى التهديد: مرتفع
12
أخبار متتبعة
3
ثغرات CVE حرجة
1
برنامج فدية نشط
2
عمليات دول
🔗 هجمات سلسلة التوريد وحملات البرمجيات الخبيثة

حملة GlassWorm تصيب أكثر من 400 مستودع عبر GitHub وnpm وVSCode وOpenVSX

حرجسلسلة التوريد 📅 17 مارس

عادت حملة هجوم سلسلة التوريد GlassWorm بهجوم منسق يحقن برمجيات خبيثة في مئات من مستودعات Python وحزم npm وإضافات VSCode/OpenVSX. استخدم المهاجمون رموز GitHub مسروقة لدفع كود مشفر قسرياً إلى ملفات setup.py وmain.py وapp.py لمشاريع مشروعة — بما في ذلك تطبيقات Django وكود أبحاث التعلم الآلي وحزم PyPI. أي شخص يقوم بتشغيل pip install من مستودع مخترق يُفعّل البرمجية الخبيثة. تم تتبع أقدم الحقن إلى 8 مارس. سُميت الحملة الفرعية ForceMemo.

خدعة عرض الخطوط تُخفي الأوامر الخبيثة من أدوات أمن الذكاء الاصطناعي

مرتفعأمن الذكاء الاصطناعي 📅 17 مارس

تقنية هجوم جديدة تجعل مساعدي الذكاء الاصطناعي يفوّتون الأوامر الخبيثة المضمنة في صفحات الويب من خلال استغلال اختلافات عرض الخطوط. يتم إخفاء التعليمات الخبيثة في HTML يبدو غير ضار ولكنه يُعرض بشكل مختلف للبشر مقارنة بمحللات الذكاء الاصطناعي، مما يُنشئ فئة جديدة من هجمات حقن الأوامر والتهرب ضد أدوات الأمن المدعومة بالذكاء الاصطناعي.

💀 برامج الفدية والابتزاز

برنامج فدية LeakNet يتبنى ClickFix + بيئة تشغيل Deno لهجمات خفية

فديةمرتفع 📅 17 مارس · المصدر: ReliaQuest

يستخدم برنامج فدية LeakNet الآن تقنية الهندسة الاجتماعية ClickFix للوصول الأولي، مما يخدع المستخدمين لتشغيل أوامر خبيثة عبر رسائل خطأ مزيفة على مواقع ويب مخترقة. تنشر المجموعة هجوم «أحضر بيئة التشغيل الخاصة بك» (BYOR) باستخدام بيئة تشغيل JavaScript المشروعة Deno لتنفيذ الحمولات مباشرة في الذاكرة — متجاوزة قوائم حظر EDR لأن Deno ملف ثنائي موقّع وموثوق. تشمل ما بعد الاستغلال تحميل DLL الجانبي عبر Java والحركة الجانبية عبر PsExec واكتشاف بيانات الاعتماد عبر klist واستخراج البيانات عبر دلاء Amazon S3. مؤشرات الكشف: Deno يعمل خارج بيئات التطوير، استخدام غير طبيعي لـ PsExec، حركة مرور S3 صادرة غير متوقعة.

🐛 الثغرات الأمنية وCVE

Apple تصلح ثغرة WebKit CVE-2026-20643 عبر أول تحديث أمني في الخلفية

مرتفع 📅 17 مارس · CVE-2026-20643

أصدرت Apple أول تحديث «تحسينات أمنية في الخلفية» على الإطلاق — آلية جديدة لدفع الإصلاحات الحرجة إلى أجهزة iPhone وiPad وMac دون الحاجة إلى ترقية كاملة لنظام التشغيل. يعالج التصحيح ثغرة WebKit (CVE-2026-20643). يمثل هذا تحولاً كبيراً في استراتيجية التصحيح لدى Apple، مما يُمكّن من الاستجابة الأسرع لعيوب محركات المتصفح.

CISA تُصنّف ثغرة Wing FTP CVE-2025-47813 كمُستغلة بشكل نشط

متوسط 📅 17 مارس · CVE-2025-47813 · CVSS 4.3

أضافت CISA ثغرة كشف المعلومات في خادم Wing FTP إلى كتالوج الثغرات المعروفة المُستغلة (KEV). تسرّب الثغرة مسار التثبيت المحلي الكامل للتطبيق. على الرغم من تصنيفها بخطورة متوسطة (CVSS 4.3)، إلا أن الاستغلال النشط يجعل التصحيح أمراً عاجلاً — يمكن ربط كشف المسار بثغرات أخرى لتحقيق اختراق كامل.

عيوب منصات الذكاء الاصطناعي: Amazon Bedrock وLangSmith وSGLang تُمكّن من استخراج البيانات وRCE

مرتفعأمن الذكاء الاصطناعي 📅 17 مارس · CVSS 7.5 · المصدر: BeyondTrust

كشفت BeyondTrust أن وضع الحماية في Amazon Bedrock AgentCore Code Interpreter يسمح باستعلامات DNS الصادرة، مما يُمكّن المهاجمين من إنشاء قنوات C2 واستخراج البيانات والحصول على reverse shells تفاعلية — متجاوزة عزل الشبكة المتوقع. تستخدم التقنية سجلات DNS A للاتصال ثنائي الاتجاه. صنّفت Amazon هذا كـ«وظيفة مقصودة» بدلاً من عيب، موصية بوضع VPC للعزل الكامل. المنظمات التي تُشغّل مفسرات كود الذكاء الاصطناعي بأدوار IAM ذات امتيازات مفرطة هي الأكثر عرضة للخطر.

شبكة RondoDox الروبوتية تستغل 174 ثغرة على نطاق واسع

مرتفع 📅 17 مارس

كثّفت شبكة RondoDox الروبوتية نشاطها، حيث بلغت محاولات الاستغلال ذروتها عند 15,000 محاولة يومياً عبر 174 ثغرة معروفة. تتبع الشبكة نهجاً أكثر استهدافاً، مع التركيز على البنية التحتية غير المُصحّحة. يجب على المنظمات التحقق من حالة التصحيح لجميع CVE المستهدفة بهذه الحملة.

🕵️ الجهات الفاعلة الحكومية والتجسس

الاتحاد الأوروبي يفرض عقوبات على كيانات صينية وإيرانية بسبب هجمات إلكترونية على البنية التحتية الحرجة

حكوميسياسة 📅 17 مارس

أعلن مجلس الاتحاد الأوروبي عن عقوبات ضد ثلاثة كيانات وفردين بسبب تورطهم في هجمات إلكترونية تستهدف البنية التحتية الحرجة في أوروبا. ترتبط الأطراف المعاقبة بعمليات ترعاها الدولتان الصينية والإيرانية. يُمثل هذا تصعيداً مستمراً في استعداد الاتحاد الأوروبي لاستخدام العقوبات الإلكترونية كرادع — ذو صلة مباشرة بتقييمات مشهد التهديدات وفق NIS2.

باب خلفي DRILLAPP يستهدف أوكرانيا عبر تصحيح أخطاء Microsoft Edge

حكومي 📅 17 مارس · الجهة: Laundry Bear / UAC-0190

تستهدف جهات تهديد مرتبطة بروسيا كيانات أوكرانية باستخدام DRILLAPP، وهو باب خلفي قائم على JavaScript يعمل من خلال ميزات تصحيح الأخطاء في Microsoft Edge. يمكن للبرمجية الخبيثة تحميل/تنزيل الملفات والوصول إلى الميكروفونات والتقاط صور كاميرا الويب عن طريق إساءة استخدام قدرات المتصفح. تستخدم الحملة إغراءات قضائية وخيرية للوصول الأولي عبر ملفات LNK. النسب: Laundry Bear (Void Blizzard).

مجموعة Konni الكورية الشمالية تنشر EndRAT عبر انتشار KakaoTalk

حكومي 📅 17 مارس · الجهة: Konni

تقوم جهات تهديد كورية شمالية (مجموعة Konni) باختراق الأهداف عبر التصيد الموجه، ثم تختطف تطبيق KakaoTalk المكتبي للضحية لتوزيع حمولات خبيثة على جهات اتصاله — مُسلّحة قنوات الاتصال الموثوقة لنشر البرمجيات الخبيثة. توفر برمجية EndRAT الخبيثة وصولاً كاملاً عن بُعد.

قراصنة مرتبطون بالصين يستهدفون جيوش آسيوية في عملية تجسس صبورة

حكومي 📅 17 مارس

نشر قراصنة صينيون ترعاهم الدولة أدوات مخصصة ضد أهداف عسكرية آسيوية وظلوا خاملين في بيئات مُخترقة لأشهر قبل التنشيط — مُظهرين ثباتاً متقدماً وصبراً في عمليات التجسس.

🔓 خروقات البيانات والحوادث

عملاق الجراحة الروبوتية Intuitive يكشف عن هجوم إلكتروني

مرتفع 📅 17 مارس

كشفت Intuitive، الشركة المُصنّعة لنظام الجراحة الروبوتية da Vinci، أنه تم الوصول إلى تطبيقات الأعمال الداخلية بعد وقوع موظف ضحية لهجوم تصيد احتيالي. تحقق شركة التكنولوجيا الصحية في نطاق الاختراق. نظراً لحساسية البيانات الجراحية وبيانات المرضى، فإن لهذا الحادث تداعيات تنظيمية وأمنية كبيرة على سلامة المرضى.

سجل الشركات البريطاني كشف تفاصيل ملايين الشركات

مرتفع 📅 17 مارس

كان بالإمكان استغلال ثغرة في سجل الشركات البريطاني للحصول على تفاصيل الشركات وتعديل سجلات ملايين الشركات المسجلة في المملكة المتحدة. أكدت الوكالة الحكومية وجود الثغرة. يُثير احتمال التلاعب بالسجلات مخاوف جدية بشأن الاحتيال في هوية الشركات والثقة في سلسلة التوريد.

اختراق Oracle EBS: 4 شركات كبرى لا تزال صامتة حول التأثير

متوسط 📅 17 مارس

بعد اختراق Oracle E-Business Suite، تظل Broadcom وBechtel وEstée Lauder وAbbott Technologies الشركات الكبرى الوحيدة التي لم تُصدر بيانات عامة حول التأثير المحتمل. يتصاعد الضغط للإفصاح مع تواصل المنظمات المتأثرة الأخرى مع أصحاب المصلحة.

💰 الصناعة والتمويل

12.5 مليون دولار مُستثمرة في أمن المصادر المفتوحة من عمالقة التكنولوجيا

تمويل 📅 17 مارس

موّلت Anthropic وAWS وGoogle وMicrosoft وOpenAI بشكل مشترك مبادرات الأمان طويلة المدى لمؤسسة Linux للبرمجيات مفتوحة المصدر باستثمار قدره 12.5 مليون دولار — إشارة إلى أن الصناعة تأخذ أمن سلسلة التوريد على محمل الجد في حقبة ما بعد Log4j.

Surf AI تجمع 57 مليون دولار لعمليات الأمن الوكيلية

تمويلأمن الذكاء الاصطناعي 📅 17 مارس

انطلقت Surf AI بتمويل قدره 57 مليون دولار من Accel وCyberstarts وBoldstart Ventures لمنصة عمليات أمنية وكيلية. تواصل فئة «Agentic SecOps» الناشئة جذب رؤوس أموال مخاطرة كبيرة.

Tracebit تجمع 20 مليون دولار لتقنية الخداع السحابية الأصلية

تمويل 📅 17 مارس

حصلت Tracebit على 20 مليون دولار لتوسيع منتجات الخداع السحابية الأصلية والتوسع في أسواق جديدة وتنمية فرق الهندسة والتسويق. تواصل تقنية الخداع كسب الزخم كمكمل لنهج الكشف التقليدية.

📡 أنماط التهديدات الناشئة

الأنماط الرئيسية لهذا الأسبوع

📅 أسبوع 17 مارس 2026

1. هجمات «أحضر بيئة التشغيل الخاصة بك» — استخدام LeakNet لـ Deno لتنفيذ الحمولات في الذاكرة يمثل اتجاهاً متنامياً: إساءة استخدام أدوات المطورين المشروعة والموقعة كبيئات تشغيل للبرمجيات الخبيثة. من المتوقع أن يمتد هذا النمط إلى Bun وNode.js وبيئات تشغيل أخرى.

2. البنية التحتية للذكاء الاصطناعي كسطح هجوم — تسريب DNS في Amazon Bedrock واستطلاع CISO الذي يُظهر أن 67% يفتقرون للرؤية حول نشر الذكاء الاصطناعي يرسمان صورة واضحة: البنية التحتية للذكاء الاصطناعي تتجاوز التغطية الأمنية. صناديق حماية الذكاء الاصطناعي ليست معزولة كما يُفترض.

3. هجمات إشباع سلسلة التوريد — استهداف GlassWorm المتزامن لأكثر من 400 مستودع عبر GitHub وnpm وVSCode وOpenVSX يُظهر أن المهاجمين يتوسعون لضرب أنظمة بيئية متعددة في وقت واحد، مما يجعل الكشف والاستجابة أصعب بشكل أُسّي.

4. المتصفح كسلاح — إساءة استخدام DRILLAPP لتصحيح أخطاء Edge وخدعة التهرب من الذكاء الاصطناعي عبر عرض الخطوط وحملات VPN المزيفة لـ Storm-2561 تشير إلى أن المتصفح أصبح ناقل الهجوم الرئيسي في 2026. تتقارب هجمات الطبقة السابعة وإساءة استخدام API والحملات المدعومة بالذكاء الاصطناعي في عمليات متعددة النواقل (وفقاً لـ Akamai).

5. سرقة بيانات اعتماد VPN على نطاق واسع — توزيع Storm-2561 لعملاء VPN مزيفين من خلال تسميم SEO يُظهر اهتماماً مستمراً بالبنية التحتية للوصول عن بُعد، مع نشر أحصنة طروادة إلى جانب سارقي بيانات الاعتماد.

🎯 صلة KENSAI

تؤثر استخبارات اليوم مباشرة على موقع KENSAI في السوق وخارطة طريق المنتج:

  • عقوبات الاتحاد الأوروبي ضد الجهات الإلكترونية تُعزز إلحاح NIS2 — الاتحاد الأوروبي يُسمّي ويُعاقب بنشاط الجهات الفاعلة المُهدّدة التي تستهدف البنية التحتية الحرجة. زاوية الامتثال لدى KENSAI مُثبتة.
  • فجوة أمن الذكاء الاصطناعي — 67% من مسؤولي أمن المعلومات يفتقرون للرؤية حول نشر الذكاء الاصطناعي. يمكن لـ KENSAI تموضع فحص أمن الذكاء الاصطناعي كعامل تمييز في سوق DACH.
  • هجمات سلسلة التوريد بهذا الحجم (GlassWorm يضرب أكثر من 400 مستودع) تجعل فحص التبعيات وتوليد SBOM ضرورياً — ميزات يجب أن تُبرزها KENSAI.
  • 89.5 مليون دولار تمويل أمني اليوم (Surf AI + Tracebit + مبادرة OSS) — السوق مُتّقد. شهية المستثمرين لأدوات الأمن تبقى قوية في اتجاه الربع الثاني.
  • تقارب الهجمات القائمة على المتصفح يُثبت صحة نهج فحص DAST — اختبارات أمن تطبيقات الويب الخارجية أكثر أهمية من أي وقت مضى.

المصادر: BleepingComputer, The Hacker News, SecurityWeek, ReliaQuest, BeyondTrust, S2 Grupo LAB52, Genians, StepSecurity, Akamai · جمعه KENSAI Security Intelligence · kensai.app