نشرة استخبارات يومية
KENSAI أبحاث الأمن السيبراني
الثلاثاء، 25 مارس 2026 — 04:00 بتوقيت وسط أوروبا
4
خروقات بيانات
3
ثغرات CVE حرجة
3
هجمات سلسلة التوريد
1
حكم بقضية فدية
⚡ TL;DR — أبرز أحداث اليوم
- هجوم TeamPCP على سلسلة التوريد مستمر — حزمة LiteLLM على PyPI ملوثة بأدوات جمع بيانات الاعتماد وأدوات الحركة الجانبية في K8s؛ كما تم اختراق GitHub Actions الخاصة بـ Checkmarx
- CVE-2026-4681 (PTC Windchill) — ثغرة RCE يوم صفر بالغة الخطورة لدرجة أن الشرطة الفيدرالية الألمانية (BKA) أيقظت مديري الأنظمة ليلاً لتسليم التحذير شخصياً
- تسريب بيانات موظفي HackerOne — عبر مزود المزايا المخترق Navia
- خرق QualDerm — سرقة 3.1 مليون سجل طبي
- Lapsus$ تدعي اختراق AstraZeneca — مستودعات الكود وبيانات الاعتماد وبيانات الموظفين مخترقة حسب الادعاء
- FCC تحظر أجهزة التوجيه المصنعة في الخارج — جميع أجهزة التوجيه الاستهلاكية المصنعة خارج الولايات المتحدة محظورة الآن من البيع
- انطلاق RSAC 2026 — إعلانات رئيسية من الموردين جارية
ثغرات حرجة
CVE-2026-4681 — PTC Windchill / FlexPLM تنفيذ كود عن بُعد (يوم صفر)
ثغرة حرجة في إلغاء التسلسل في أنظمة إدارة دورة حياة المنتج Windchill وFlexPLM تسمح بتنفيذ كود عن بُعد دون مصادقة. مستوى الخطورة غير مسبوق — أرسلت الشرطة الفيدرالية الألمانية (BKA) عملاء إلى الشركات في جميع أنحاء البلاد خلال عطلة نهاية الأسبوع، وأيقظت مديري الأنظمة ليلاً لتسليم التحذير شخصياً. نشرت PTC مؤشرات الاختراق بما في ذلك مؤشرات Webshell (GW.class، ملفات dpr_*.jsp) وأنماط User-Agent المشبوهة. لا يوجد تصحيح حتى الآن؛ يوصي المورد بتطبيق قواعد رفض مسار servlet في Apache/IIS فوراً وفصل المثيلات المكشوفة على الإنترنت.
حرجZERO-DAYRCEPLMتصنيع
← BleepingComputer
حرجZERO-DAYRCEPLMتصنيع
← BleepingComputer
🛡️ صلة KENSAI: تُستخدم أنظمة PLM على نطاق واسع في قطاعي التصنيع والدفاع في منطقة DACH — أهداف رئيسية للامتثال لـ NIS2. تؤثر ثغرة يوم الصفر هذه مباشرة على المؤسسات الصناعية التي تخدمها KENSAI.
ثغرة حرجة في Citrix NetScaler — كشف معلومات قبل المصادقة
ثغرة قراءة خارج الحدود في Citrix NetScaler يمكن استغلالها عن بُعد دون مصادقة لقراءة معلومات حساسة من الذاكرة. تحذر عدة شركات أمنية من أن الاستغلال وشيك بالنظر إلى الانتشار الواسع لأجهزة NetScaler. يجب على المؤسسات تطبيق التصحيحات فوراً.
حرجPRE-AUTHNETSCALERشبكة
← SecurityWeek
حرجPRE-AUTHNETSCALERشبكة
← SecurityWeek
Chrome 146 — ثمانية إصلاحات أمان ذاكرة عالية الخطورة
أصدرت Google Chrome 146 لإصلاح ثمانية أخطاء أمان ذاكرة تؤثر على سبعة مكونات مختلفة. يجب على المؤسسات نشر تحديثات المتصفح فوراً عبر جميع الأجهزة.
عاليمتصفحMEMORY-SAFETY
← SecurityWeek
عاليمتصفحMEMORY-SAFETY
← SecurityWeek
هجمات سلسلة التوريد — هجوم TeamPCP
حزمة LiteLLM على PyPI ملوثة بباب خلفي (الإصدارات 1.82.7–1.82.8)
قام فاعل التهديد TeamPCP — المسؤول عن اختراقات Trivy وKICS الأخيرة — بزرع باب خلفي في حزمة Python الشهيرة LiteLLM على PyPI. الحمولة عبارة عن هجوم من ثلاث مراحل:
المرحلة 1: جامع بيانات اعتماد يسرق مفاتيح SSH، بيانات اعتماد السحابة، أسرار K8s، محافظ العملات المشفرة وملفات .env
المرحلة 2: مجموعة أدوات حركة جانبية Kubernetes تنشر pods مميزة على كل عقدة
المرحلة 3: باب خلفي systemd مستمر (sysmon.service) يستعلم من نطاق C2 عن ثنائيات إضافية
تمت إزالة الإصدارات الخبيثة من PyPI. يجب على أي شخص قام بتثبيت litellm 1.82.7 أو 1.82.8 اعتبار بيئته مخترقة بالكامل.
حرجSUPPLY-CHAINPYPIK8SCREDENTIAL-THEFT
← The Hacker News
المرحلة 1: جامع بيانات اعتماد يسرق مفاتيح SSH، بيانات اعتماد السحابة، أسرار K8s، محافظ العملات المشفرة وملفات .env
المرحلة 2: مجموعة أدوات حركة جانبية Kubernetes تنشر pods مميزة على كل عقدة
المرحلة 3: باب خلفي systemd مستمر (sysmon.service) يستعلم من نطاق C2 عن ثنائيات إضافية
تمت إزالة الإصدارات الخبيثة من PyPI. يجب على أي شخص قام بتثبيت litellm 1.82.7 أو 1.82.8 اعتبار بيئته مخترقة بالكامل.
حرجSUPPLY-CHAINPYPIK8SCREDENTIAL-THEFT
← The Hacker News
🛡️ صلة KENSAI: يُستخدم LiteLLM على نطاق واسع في خطوط أنابيب AI/LLM. يوضح هذا الهجوم المخاطر المتزايدة لاختراقات سلسلة التوريد في أدوات الذكاء الاصطناعي — وهو مجال رئيسي لقدرات SCA وSBOM الخاصة بـ KENSAI.
اختراق GitHub Actions الخاصة بـ Checkmarx عبر بيانات اعتماد CI مسروقة
اخترق TeamPCP سير عمل GitHub Actions اثنين تتم صيانتهما بواسطة Checkmarx (checkmarx/ast-github-action وcheckmarx/kics-github-action) باستخدام بيانات اعتماد CI مسروقة — من المحتمل أنها حُصلت من اختراق سلسلة توريد Trivy السابق. يوسع نفس فاعل التهديد نطاقه عبر تبعيات CI/CD المترابطة.
حرجSUPPLY-CHAINCI/CDGITHUB-ACTIONS
← The Hacker News
حرجSUPPLY-CHAINCI/CDGITHUB-ACTIONS
← The Hacker News
حملة «Ghost» — 7 حزم npm خبيثة تسرق محافظ العملات المشفرة
سبع حزم npm نشرها المستخدم «mikilanjillo» تسرق محافظ العملات المشفرة وبيانات الاعتماد. تتضمن الحزم أسماء مثل react-performance-suite وreact-state-optimizer-core وreact-fast-utilsa وai-fast-auto-trader — مصممة لتبدو كمكتبات React وAI شرعية.
عاليSUPPLY-CHAINNPMCRYPTO-THEFT
← The Hacker News
عاليSUPPLY-CHAINNPMCRYPTO-THEFT
← The Hacker News
خروقات البيانات
QualDerm — سرقة 3.1 مليون سجل مريض
سرق قراصنة معلومات شخصية وسجلات طبية وبيانات التأمين الصحي من الأنظمة الداخلية لـ QualDerm. تأثر 3.1 مليون فرد — واحدة من أكبر خروقات بيانات الرعاية الصحية هذا الربع.
خرقرعاية صحية3.1M سجل
← SecurityWeek
خرقرعاية صحية3.1M سجل
← SecurityWeek
تسريب بيانات موظفي HackerOne عبر مزود المزايا Navia
تُخطر منصة مكافآت الثغرات HackerOne مئات الموظفين بأن بياناتهم سُرقت بعد اختراق المهاجمين لـ Navia، مزود مزايا أمريكي تستخدمه الشركة. هذا خرق بيانات عبر طرف ثالث/سلسلة التوريد — لم يستهدف المهاجم HackerOne مباشرة.
خرقطرف ثالثبيانات الموارد البشرية
← BleepingComputer
خرقطرف ثالثبيانات الموارد البشرية
← BleepingComputer
Infinite Campus — سرقة بيانات طلاب K-12 بواسطة ShinyHunters
يحذر نظام معلومات الطلاب K-12 المستخدم على نطاق واسع Infinite Campus عملاءه من خرق بيانات بعد محاولة ابتزاز من فاعل التهديد ShinyHunters. بيانات الطلاب والمدارس في خطر.
خرقتعليمابتزاز
← BleepingComputer
خرقتعليمابتزاز
← BleepingComputer
Lapsus$ تدعي اختراق AstraZeneca — مستودعات كود، بيانات اعتماد، بيانات موظفين
تدعي مجموعة الابتزاز Lapsus$ اختراق AstraZeneca، مع اختراق مزعوم لمستودعات الكود الداخلية وبيانات الاعتماد وبيانات الموظفين. قيد التحقيق.
خرقأدويةابتزاز
← SecurityWeek
خرقأدويةابتزاز
← SecurityWeek
وزارة المالية الهولندية — تسريب بيانات الموظفين
كشفت وزارة المالية الهولندية عن خرق يؤثر على بيانات الموظفين. التفاصيل لا تزال تتكشف، لكن هذا يضاف إلى نمط استهداف الكيانات الحكومية الأوروبية.
خرقحكومةEU
← BleepingComputer
خرقحكومةEU
← BleepingComputer
🛡️ صلة KENSAI: تعزز خروقات الحكومات الأوروبية إلحاح الامتثال لـ NIS2 — السردية البيعية الرئيسية لـ KENSAI في سوق DACH/EU.
Mazda — سرقة بيانات الموظفين والشركاء
سرق قراصنة معرفات داخلية وأسماء وعناوين بريد إلكتروني ومعرفات شركاء تجاريين من نظام إدارة داخلي. لا يزال نطاق التأثير قيد التقييم.
خرقسيارات
← SecurityWeek
خرقسيارات
← SecurityWeek
برامج الفدية وإنفاذ القانون
وسيط وصول Yanluowang Ransomware يُحكم عليه بـ 81 شهراً
حُكم على مواطن روسي بنحو 7 سنوات (81 شهراً) في سجن فيدرالي أمريكي بعد اعترافه بالذنب في العمل كوسيط وصول أولي (IAB) لمجموعة Yanluowang لبرامج الفدية. تسببت العمليات في أضرار تقدر بنحو 9 ملايين دولار. انتصار للتعاون الدولي في إنفاذ القانون.
RANSOMWAREإنفاذ القانونحكم
← BleepingComputer
RANSOMWAREإنفاذ القانونحكم
← BleepingComputer
حملات البرمجيات الخبيثة والتصيد
FAUX#ELEVATE — سير ذاتية مزيفة تنشر أدوات تعدين عملات مشفرة وسرقة معلومات
حملة تصيد مستمرة تستهدف البيئات المؤسسية الناطقة بالفرنسية باستخدام ملفات VBScript مشفرة متخفية كسير ذاتية. تجمع مجموعة الأدوات متعددة الأغراض بين سرقة بيانات الاعتماد وتسريب البيانات وتعدين Monero. تستخدم Dropbox للتخزين المؤقت ومواقع WordPress مغربية لـ C2 وSMTP mail.ru للتسريب.
عاليPHISHINGCRYPTOMININGINFOSTEALER
← The Hacker News
عاليPHISHINGCRYPTOMININGINFOSTEALER
← The Hacker News
إعلانات ضريبية خبيثة — ScreenConnect RAT عبر BYOVD
حملة إعلانات خبيثة واسعة النطاق تستغل Google Ads لاستهداف مستخدمين أمريكيين يبحثون عن مستندات ضريبية. تسلم مثبتات ConnectWise ScreenConnect خبيثة تنشر «HwAudKiller» — أداة تستخدم تقنية Bring Your Own Vulnerable Driver (BYOVD) مع برنامج تشغيل Huawei لتعطيل منتجات EDR/AV. نشطة منذ يناير، ومن المرجح أن تتصاعد مع اقتراب الموعد النهائي الضريبي الأمريكي.
عاليMALVERTISINGBYOVDEDR-BYPASS
← The Hacker News
عاليMALVERTISINGBYOVDEDR-BYPASS
← The Hacker News
سياسات وصناعة وأدوات
FCC تحظر جميع أجهزة التوجيه الاستهلاكية المصنعة في الخارج
حدّثت لجنة الاتصالات الفيدرالية قائمتها المحظورة لتشمل جميع أجهزة التوجيه الاستهلاكية المصنعة في الخارج، مما يحظر بيع النماذج الجديدة في الولايات المتحدة. تصعيد كبير في النهج الأمريكي تجاه أمن سلسلة توريد الأجهزة.
سياسةSUPPLY-CHAINHARDWARE
← BleepingComputer
سياسةSUPPLY-CHAINHARDWARE
← BleepingComputer
Firefox 149 — VPN مدمج مجاني (50 جيجابايت/شهر)
أصدرت Mozilla Firefox 149 مع VPN مدمج يوفر ما يصل إلى 50 جيجابايت من حركة المرور الشهرية مجاناً. خطوة ملحوظة نحو الخصوصية الافتراضية في المتصفحات الرئيسية.
أداةخصوصيةمتصفح
← BleepingComputer
أداةخصوصيةمتصفح
← BleepingComputer
مؤتمر RSAC 2026 — إعلانات اليوم الأول
انطلق مؤتمر RSA 2026 بموجة من إعلانات الموردين. المواضيع الرئيسية الناشئة: Guardian Agents (عملاء ذكاء اصطناعي يشرفون على عملاء ذكاء اصطناعي آخرين — أصدرت Gartner أول دليل سوق لها)، حوكمة الذكاء الاصطناعي الوكيل، والتقارب المستمر بين الهوية وأمن السحابة.
صناعةRSACAI-SECURITY
← SecurityWeek
صناعةRSACAI-SECURITY
← SecurityWeek
أول دليل سوق من Gartner لـ «Guardian Agents»
أصدرت Gartner أول دليل سوق لها لـ Guardian Agents — عملاء ذكاء اصطناعي يشرفون على عملاء ذكاء اصطناعي آخرين لضمان توافق إجراءاتهم مع الأهداف والحدود. هذه الفئة الجديدة ذات صلة مباشرة مع تحول منصات الذكاء الاصطناعي الوكيل من أدوات سلبية إلى فاعلين مستقلين مع وصول حقيقي للأنظمة.
سوقAI-GOVERNANCEGARTNER
← The Hacker News
سوقAI-GOVERNANCEGARTNER
← The Hacker News
🛡️ صلة KENSAI: تؤكد فئة Guardian Agent صحة سوق الإشراف الأمني على الذكاء الاصطناعي — مجاور مباشرة لموقع KENSAI. يستحق المتابعة لفرص المحتوى والتموضع.
AWS Bedrock — 8 متجهات هجوم رسمها XM Cyber
رسم فريق أبحاث التهديدات في XM Cyber ثمانية متجهات هجوم داخل بيئات AWS Bedrock. عندما يمكن لعملاء الذكاء الاصطناعي الاستعلام من Salesforce وتشغيل وظائف Lambda أو السحب من قواعد معرفة SharePoint، يصبحون عقداً في البنية التحتية مع أذونات ومسارات قابلة للوصول إلى الأصول الحرجة. يسلط البحث الضوء على سطح الهجوم المتزايد للذكاء الاصطناعي الوكيل في بيئات السحابة.
عاليCLOUDAI-SECURITYAWS
← The Hacker News
عاليCLOUDAI-SECURITYAWS
← The Hacker News
جيوسياسية وتهديدات ترعاها الدول
بولندا واجهت موجة هجمات سيبرانية في 2025 بما في ذلك هجوم على قطاع الطاقة
تُبلغ بولندا عن زيادة كبيرة في الهجمات السيبرانية طوال عام 2025، بما في ذلك اختراق مدمر لنظام الطاقة في البلاد في ديسمبر، يُشتبه في أنه من روسيا. يؤكد التقرير الاستعادي على التهديدات المستمرة التي ترعاها الدول للبنية التحتية الحرجة الأوروبية.
STATE-SPONSOREDطاقةEU
← SecurityWeek
STATE-SPONSOREDطاقةEU
← SecurityWeek
شبكة كاميرات المراقبة الإيرانية اختطفتها إسرائيل للاستهداف
أفادت التقارير بأن إسرائيل اختطفت شبكة كاميرات المراقبة الوطنية في شوارع إيران، المبنية أصلاً لقمع المعارضة، وحوّلتها إلى أداة استهداف. يؤكد دورها في مقتل المرشد الأعلى الإيراني كيف تتحول أنظمة المراقبة إلى أصول حربية.
CYBER-WARFAREمراقبةSTATE-SPONSORED
← SecurityWeek
CYBER-WARFAREمراقبةSTATE-SPONSORED
← SecurityWeek
Stryker — ملف خبيث مرتبط بقراصنة الحكومة الإيرانية
نشر FBI تنبيهاً يصف برمجيات خبيثة استخدمها قراصنة الحكومة الإيرانية في هجوم على Stryker. تم العثور على ملف خبيث خلال التحقيق. تفاصيل الأدوات المرتبطة بإيران أصبحت الآن متاحة للجمهور لأغراض استخبارات التهديدات.
STATE-SPONSOREDIRANMALWARE
← SecurityWeek
STATE-SPONSOREDIRANMALWARE
← SecurityWeek
أنماط التهديدات الناشئة
1. هجمات سلسلة التوريد تتسارع
يُظهر الاختراق المتتابع لـ TeamPCP (Trivy → KICS → LiteLLM → Checkmarx) كيف يمكن لاختراق CI/CD واحد أن ينتشر عبر أدوات مفتوحة المصدر مترابطة. تضيف حملة npm «Ghost» إلى هذا النمط. توقعوا المزيد.
2. أدوات الذكاء الاصطناعي هي سطح الهجوم الجديد
LiteLLM (وكيل ذكاء اصطناعي)، متجهات هجوم AWS Bedrock، حوكمة Guardian Agent — ثلاث قصص منفصلة تشير جميعها إلى بنية الذكاء الاصطناعي الوكيل كهدف رئيسي. المؤسسات التي تنشر عملاء ذكاء اصطناعي تحتاج إلى إشراف أمني الآن.
3. BYOVD يصبح سائداً
تُظهر حملة الإعلانات الخبيثة الضريبية التي تستخدم برنامج تشغيل Huawei لتعطيل EDR أن BYOVD (Bring Your Own Vulnerable Driver) لم تعد تقنية حصرية لـ APT — حملات البرمجيات الخبيثة التجارية تتبناها.
4. الحكومات الأوروبية تحت ضغط مستمر
خرق وزارة المالية الهولندية وهجمات قطاع الطاقة البولندي وحالة طوارئ PTC Windchill (التي أطلقت تعبئة BKA) ترسم صورة للبنية التحتية الأوروبية تحت تهديد مستمر — مما يعزز إلحاح الامتثال لـ NIS2.
5. مخاطر الأطراف الثالثة/الموردين لا تزال مُقللة
HackerOne اُخترقت عبر مزود مزايا. AstraZeneca يُدعى اختراقها. Mazda عبر نظام إدارة داخلي. مسار الهجوم عبر الموردين والشركاء يظل الحلقة الأضعف.
يُظهر الاختراق المتتابع لـ TeamPCP (Trivy → KICS → LiteLLM → Checkmarx) كيف يمكن لاختراق CI/CD واحد أن ينتشر عبر أدوات مفتوحة المصدر مترابطة. تضيف حملة npm «Ghost» إلى هذا النمط. توقعوا المزيد.
2. أدوات الذكاء الاصطناعي هي سطح الهجوم الجديد
LiteLLM (وكيل ذكاء اصطناعي)، متجهات هجوم AWS Bedrock، حوكمة Guardian Agent — ثلاث قصص منفصلة تشير جميعها إلى بنية الذكاء الاصطناعي الوكيل كهدف رئيسي. المؤسسات التي تنشر عملاء ذكاء اصطناعي تحتاج إلى إشراف أمني الآن.
3. BYOVD يصبح سائداً
تُظهر حملة الإعلانات الخبيثة الضريبية التي تستخدم برنامج تشغيل Huawei لتعطيل EDR أن BYOVD (Bring Your Own Vulnerable Driver) لم تعد تقنية حصرية لـ APT — حملات البرمجيات الخبيثة التجارية تتبناها.
4. الحكومات الأوروبية تحت ضغط مستمر
خرق وزارة المالية الهولندية وهجمات قطاع الطاقة البولندي وحالة طوارئ PTC Windchill (التي أطلقت تعبئة BKA) ترسم صورة للبنية التحتية الأوروبية تحت تهديد مستمر — مما يعزز إلحاح الامتثال لـ NIS2.
5. مخاطر الأطراف الثالثة/الموردين لا تزال مُقللة
HackerOne اُخترقت عبر مزود مزايا. AstraZeneca يُدعى اختراقها. Mazda عبر نظام إدارة داخلي. مسار الهجوم عبر الموردين والشركاء يظل الحلقة الأضعف.