剣 KENSAI
← Back to archive

🛡️ الموجز اليومي لأبحاث الأمن السيبراني

الأربعاء، 1 أبريل 2026 — 04:00 بتوقيت وسط أوروبا الصيفي
⚡ خلاصة: هجوم سلسلة توريد على حزمة Axios في npm يُوزّع RAT متعدد المنصات (أكثر من 100 مليون تنزيل أسبوعي متأثر). اختراق Cisco عبر هجوم سلسلة توريد Trivy — سرقة شفرة مصدرية لمنتجات الذكاء الاصطناعي ومستودعات العملاء. ثغرة يوم صفر في TrueConf (CVE-2026-3502) استُغلت من قِبل جهة تهديد مرتبطة بالصين ضد حكومات جنوب شرق آسيا. Claude AI يكتشف ثغرات RCE في Vim وEmacs. ثغرة حرجة في Citrix NetScaler تحت استغلال نشط. Google تُظهر أن كسر التشفير بالحوسبة الكمية يحتاج عدد كيوبتات أقل بـ20 ضعفاً.

🔴 هجمات سلسلة التوريد

اختراق حزمة Axios في npm — نشر RAT متعدد المنصات

حرج سلسلة-توريد npm RAT

تعرّض عميل Axios HTTP (أكثر من 100 مليون تنزيل أسبوعي) لهجوم مستهدف على سلسلة التوريد. اخترق المهاجم حساب المشرف Jason Saayman على npm ونشر إصدارات خبيثة 1.14.1 و0.30.4 تحقن اعتمادية مزيفة plain-crypto-js تُوزّع RAT مخصصاً لكل من Windows وmacOS وLinux.

  • تم تجهيز الاعتمادية الخبيثة قبل 18 ساعة — هجوم مُدبّر مسبقاً
  • يدعم RAT تنفيذ أوامر الصدفة، واستعراض المجلدات، وحمولات ثنائية مشفرة بـbase64
  • يُدمّر القطّارة نفسه ويستبدل package.json بنسخة نظيفة لإعاقة التحليل الجنائي
  • نُشر بدون OIDC لمصدر الحزمة، ولا يوجد commit مطابق على GitHub

إجراء مطلوب: تحقق فوراً من ملفات القفل بحثاً عن axios@1.14.1 أو axios@0.30.4. ثبّت على إصدارات موثوقة. راجع CI/CD بحثاً عن تغييرات غير متوقعة في الاعتماديات.

The Hacker News · BleepingComputer

اختراق Cisco عبر هجوم سلسلة توريد Trivy — سرقة الشفرة المصدرية

حرج سلسلة-توريد اختراق TeamPCP

تم اختراق بيئة التطوير الداخلية لـCisco باستخدام بيانات اعتماد مسروقة من هجوم سلسلة توريد ماسح الثغرات Trivy. استنسخ المهاجمون أكثر من 300 مستودع على GitHub تتضمن شفرة مصدرية لمساعدات الذكاء الاصطناعي وAI Defense ومنتجات لم تُصدر بعد.

  • سُرقت مفاتيح AWS متعددة واستُخدمت في أنشطة غير مصرح بها عبر حسابات Cisco على AWS
  • تتضمن المستودعات المسروقة شفرات تخص بنوكاً ومراكز عمليات أعمال ووكالات حكومية أمريكية
  • تورط عدة جهات تهديد بمستويات نشاط متفاوتة
  • نُسب الهجوم إلى مجموعة التهديد TeamPCP — نفس الجهة خلف اختراقات Trivy وLiteLLM وCheckmarx
  • عزلت Cisco الأنظمة المتأثرة وبدأت بتدوير بيانات الاعتماد

BleepingComputer

🎯 الاستغلال النشط وثغرات اليوم الصفري

ثغرة يوم صفر في TrueConf (CVE-2026-3502) تُستغل ضد حكومات جنوب شرق آسيا

عالي — CVSS 7.8 يوم-صفر APT مرتبط-بالصين

استُغلت ثغرة يوم صفر في عميل مؤتمرات الفيديو TrueConf في حملة أُطلق عليها TrueChaos استهدفت جهات حكومية في جنوب شرق آسيا. تسمح الثغرة للمهاجمين الذين يسيطرون على خادم TrueConf المحلي بتوزيع تحديثات معدّلة لجميع نقاط النهاية المتصلة.

  • استُغلت لنشر إطار Havoc C2 عبر تحميل DLL الجانبي
  • نُسبت بثقة متوسطة إلى جهة تهديد مرتبطة بالصين
  • تستخدم بنية Alibaba Cloud وTencent التحتية للتحكم والسيطرة
  • نفس الضحايا استُهدفوا بـShadowPad في نفس الإطار الزمني
  • تم الإصلاح في عميل TrueConf لـWindows الإصدار 8.5.3

The Hacker News · Check Point Research

ثغرة حرجة في Citrix NetScaler (CVE-2026-3055) تحت استغلال نشط

حرج — CVSS 9.3 استغلال-نشط Citrix

يتم استغلال ثغرة حرجة في Citrix NetScaler ADC وNetScaler Gateway بشكل نشط منذ 27 مارس. تتعلق الثغرة بعدم كفاية التحقق من المدخلات مما يؤدي إلى قراءة زائدة للذاكرة وتسريب معلومات حساسة محتملة. يتطلب الاستغلال أن يكون الجهاز مُهيأً كـمزود هوية SAML.

إجراء مطلوب: قم بالتحديث فوراً. تحقق من تهيئات SAML IDP بحثاً عن مؤشرات الاختراق.

The Hacker News — الملخص الأسبوعي

حقن SQL في Fortinet FortiClient EMS — بدء الاستغلال

حرج استغلال-نشط Fortinet

تسمح ثغرة حقن SQL حرجة في Fortinet FortiClient EMS للمهاجمين غير المصادقين بتنفيذ تعليمات برمجية عشوائية عن بُعد عبر طلبات HTTP مُعدّة خصيصاً. لوحظ استغلالها في البرية.

SecurityWeek

🔬 الثغرات الأمنية ومعرّفات CVE

ثغرات RCE في Vim وEmacs اكتشفها Claude AI

عالي RCE اكتشاف-بالذكاء-الاصطناعي Vim Emacs

استخدم الباحث Hung Nguyen نموذج Claude لاكتشاف ثغرات RCE في كل من Vim وGNU Emacs تُفعّل بمجرد فتح ملف.

  • Vim: تجاوز معالجة Modeline يسمح بالهروب من صندوق الرمل وتنفيذ أوامر عشوائية. يؤثر على جميع الإصدارات ≤9.2.0271. تم الإصلاح في 9.2.0272.
  • Emacs: تكامل vc-git يقرأ ملف .git/config الذي يتحكم فيه المهاجم وينفذ برامج core.fsmonitor. يعتبر مشرفو Emacs أن هذه مسؤولية Git — لم يُصلح بعد.

BleepingComputer · Calif Blog

GIGABYTE Control Center — ثغرة كتابة ملفات عشوائية

عالي كتابة-عشوائية GIGABYTE

يعاني GIGABYTE Control Center من ثغرة كتابة ملفات عشوائية تسمح للمهاجمين عن بُعد وبدون مصادقة بالوصول إلى الملفات على الأجهزة المصابة.

BleepingComputer

StrongSwan — تدفق صحيح ناقص يُسقط اتصالات VPN (15 عاماً من الإصدارات)

عالي VPN حرمان-من-الخدمة

ثغرة تدفق صحيح ناقص قابلة للاستغلال عن بُعد في StrongSwan تسمح للمهاجمين غير المصادقين بإسقاط اتصالات VPN. تمتد الثغرة عبر 15 عاماً من الإصدارات.

SecurityWeek

إساءة استخدام نموذج أذونات Vertex AI — كشف بيانات Google Cloud

عالي سحابي Google ذكاء-اصطناعي

كشف فريق Palo Alto Unit 42 عن نقطة ضعف أمنية في منصة Vertex AI من Google Cloud حيث يمكن تسليح وكلاء الذكاء الاصطناعي للحصول على وصول غير مصرح به إلى بيانات حساسة واختراق البيئات السحابية من خلال إساءة استخدام نموذج الأذونات.

The Hacker News

ثغرات CrewAI — هروب من صندوق الرمل عبر حقن التعليمات

عالي وكلاء-ذكاء-اصطناعي هروب-من-صندوق-الرمل

تسمح ثغرات في إطار عمل CrewAI للمهاجمين باستغلال حقن التعليمات لتسلسل الأخطاء معاً والهروب من صندوق الرمل وتنفيذ تعليمات برمجية عشوائية على الأجهزة المستضيفة.

SecurityWeek

إصلاح ثغرات OpenAI Codex / ChatGPT

عالي OpenAI تسريب-بيانات

أصلحت OpenAI ثغرتين: ثغرة تسريب بيانات في ChatGPT تسمح باستخراج بيانات المحادثات بشكل خفي عبر تعليمة خبيثة واحدة، وثغرة في Codex تمكّن من اختراق رموز GitHub.

The Hacker News · SecurityWeek

📊 خروقات البيانات والحوادث

مجموعة Lloyds المصرفية — كشف معاملات 450,000 مستخدم

عالي اختراق مصرفي

أدى تحديث برمجي معيب في مجموعة Lloyds المصرفية إلى كشف بيانات معاملات مستخدمي الخدمات المصرفية عبر الهاتف لمستخدمين آخرين للتطبيق، مما أثّر على نحو 450,000 فرد.

SecurityWeek

منصة CareCloud الصحية — خرق بيانات محتمل

متوسط رعاية-صحية اختراق

أفصحت منصة تكنولوجيا المعلومات الصحية CareCloud عن حادثة أمن سيبراني تتعلق بإحدى بيئات السجلات الصحية الإلكترونية. التحقيق لا يزال جارياً.

SecurityWeek

تسريب شفرة Anthropic Claude Code المصدرية

متوسط تسريب ذكاء-اصطناعي

سرّبت Anthropic عن طريق الخطأ الشفرة المصدرية لـClaude Code (مغلق المصدر) عبر حزمة npm. أكدت الشركة أنه لم يتم كشف أي بيانات عملاء أو بيانات اعتماد.

BleepingComputer

🦠 البرمجيات الخبيثة وجهات التهديد

حملة Silver Fox / AtlasCross RAT — انتحال أسماء نطاقات على مستوى آسيا

APT RAT انتحال-نطاقات

تُدير مجموعة الجريمة السيبرانية الصينية Silver Fox حملة نشطة باستخدام أكثر من 11 نطاقاً مُنتحلاً تنتحل هوية Surfshark VPN وSignal وTelegram وZoom وMicrosoft Teams وغيرها لتوزيع AtlasCross RAT المُوثّق حديثاً. يمثل هذا تطوراً عن مشتقات Gh0st RAT السابقة.

The Hacker News

Venom Stealer — حصاد مستمر لبيانات الاعتماد

سارق-معلومات برمجيات-خبيثة-كخدمة

Venom Stealer، برمجية خبيثة كخدمة مُرخّصة مع ثبات وأتمتة مدمجين، تمكّن المهاجمين من سحب بيانات الاعتماد وبيانات الجلسات وأصول العملات المشفرة بشكل مستمر من الأنظمة المخترقة.

SecurityWeek

TeamPCP تنتقل من البرمجيات مفتوحة المصدر إلى بيئات AWS

سحابي AWS حركة-جانبية

بعد التحقق من بيانات الاعتماد المسروقة باستخدام TruffleHog، لوحظ أن مجموعة القرصنة TeamPCP بدأت في استطلاع خدمات AWS والقيام بأنشطة حركة جانبية — متوسعة من هجمات سلسلة التوريد مفتوحة المصدر إلى اختراق البنية التحتية السحابية.

SecurityWeek

📡 الاتجاهات الناشئة

أمن وكلاء الذكاء الاصطناعي يصبح مصدر قلق حرج

تُبرز عدة أخبار في هذه الدورة سطح الهجوم المتنامي حول وكلاء الذكاء الاصطناعي:

  • هروب CrewAI من صندوق الرمل عبر تسلسل حقن التعليمات
  • إساءة استخدام أذونات Vertex AI للوصول إلى البيانات السحابية
  • OpenAI Codex اختراق رموز GitHub
  • نماذج اللغة الكبيرة تكسر التحكم بالوصول بصمت — تكتب سياسات Rego/Cedar بشروط مفقودة
  • إجماع متزايد على أن وكلاء الذكاء الاصطناعي يحتاجون التحقق بمبدأ انعدام الثقة، وليس الثقة الضمنية

تصنيع هجمات سلسلة التوريد على نطاق صناعي

يُظهر اختراق مجموعة TeamPCP المتزامن لـTrivy وLiteLLM وCheckmarx والآن Axios أن هجمات سلسلة التوريد يتم تصنيعها على نطاق واسع. النمط الرئيسي: اختراق حسابات المشرفين → حقن اعتماديات → سرقة بيانات اعتماد CI/CD → التمحور نحو البنية التحتية السحابية.

تسارع تهديد الحوسبة الكمية

أثبت باحثو Google أن كسر تشفير Bitcoin وEthereum يتطلب عدد كيوبتات أقل بـ20 ضعفاً مما كان مُقدّراً سابقاً. رغم أن هذا ليس عملياً بشكل فوري، إلا أنه يُسرّع بشكل كبير الجدول الزمني لإلحاح الانتقال إلى التشفير ما بعد الكمي.

SecurityWeek

🛠️ الأدوات والإصدارات

Proton Meet — مؤتمرات فيديو تركز على الخصوصية

أطلقت Proton منصة Meet، وهي منصة مؤتمرات فيديو تركز على الخصوصية كبديل لـGoogle Meet وZoom وMicrosoft Teams. مشفرة من طرف إلى طرف بشكل افتراضي.

BleepingComputer

Censys تجمع 70 مليون دولار لمنصة استخبارات الإنترنت

جمعت Censys مبلغ 70 مليون دولار (المجموع: 149 مليون دولار) لتوسيع منصتها لاستخبارات الإنترنت في مجال إدارة سطح الهجوم وصيد التهديدات.

SecurityWeek