🛡️ الموجز اليومي لأبحاث الأمن السيبراني
🔴 هجمات سلسلة التوريد
اختراق حزمة Axios في npm — نشر RAT متعدد المنصات
حرج سلسلة-توريد npm RATتعرّض عميل Axios HTTP (أكثر من 100 مليون تنزيل أسبوعي) لهجوم مستهدف على سلسلة التوريد. اخترق المهاجم حساب المشرف Jason Saayman على npm ونشر إصدارات خبيثة 1.14.1 و0.30.4 تحقن اعتمادية مزيفة plain-crypto-js تُوزّع RAT مخصصاً لكل من Windows وmacOS وLinux.
- تم تجهيز الاعتمادية الخبيثة قبل 18 ساعة — هجوم مُدبّر مسبقاً
- يدعم RAT تنفيذ أوامر الصدفة، واستعراض المجلدات، وحمولات ثنائية مشفرة بـbase64
- يُدمّر القطّارة نفسه ويستبدل package.json بنسخة نظيفة لإعاقة التحليل الجنائي
- نُشر بدون OIDC لمصدر الحزمة، ولا يوجد commit مطابق على GitHub
إجراء مطلوب: تحقق فوراً من ملفات القفل بحثاً عن axios@1.14.1 أو axios@0.30.4. ثبّت على إصدارات موثوقة. راجع CI/CD بحثاً عن تغييرات غير متوقعة في الاعتماديات.
اختراق Cisco عبر هجوم سلسلة توريد Trivy — سرقة الشفرة المصدرية
حرج سلسلة-توريد اختراق TeamPCPتم اختراق بيئة التطوير الداخلية لـCisco باستخدام بيانات اعتماد مسروقة من هجوم سلسلة توريد ماسح الثغرات Trivy. استنسخ المهاجمون أكثر من 300 مستودع على GitHub تتضمن شفرة مصدرية لمساعدات الذكاء الاصطناعي وAI Defense ومنتجات لم تُصدر بعد.
- سُرقت مفاتيح AWS متعددة واستُخدمت في أنشطة غير مصرح بها عبر حسابات Cisco على AWS
- تتضمن المستودعات المسروقة شفرات تخص بنوكاً ومراكز عمليات أعمال ووكالات حكومية أمريكية
- تورط عدة جهات تهديد بمستويات نشاط متفاوتة
- نُسب الهجوم إلى مجموعة التهديد TeamPCP — نفس الجهة خلف اختراقات Trivy وLiteLLM وCheckmarx
- عزلت Cisco الأنظمة المتأثرة وبدأت بتدوير بيانات الاعتماد
🎯 الاستغلال النشط وثغرات اليوم الصفري
ثغرة يوم صفر في TrueConf (CVE-2026-3502) تُستغل ضد حكومات جنوب شرق آسيا
عالي — CVSS 7.8 يوم-صفر APT مرتبط-بالصيناستُغلت ثغرة يوم صفر في عميل مؤتمرات الفيديو TrueConf في حملة أُطلق عليها TrueChaos استهدفت جهات حكومية في جنوب شرق آسيا. تسمح الثغرة للمهاجمين الذين يسيطرون على خادم TrueConf المحلي بتوزيع تحديثات معدّلة لجميع نقاط النهاية المتصلة.
- استُغلت لنشر إطار Havoc C2 عبر تحميل DLL الجانبي
- نُسبت بثقة متوسطة إلى جهة تهديد مرتبطة بالصين
- تستخدم بنية Alibaba Cloud وTencent التحتية للتحكم والسيطرة
- نفس الضحايا استُهدفوا بـShadowPad في نفس الإطار الزمني
- تم الإصلاح في عميل TrueConf لـWindows الإصدار 8.5.3
ثغرة حرجة في Citrix NetScaler (CVE-2026-3055) تحت استغلال نشط
حرج — CVSS 9.3 استغلال-نشط Citrixيتم استغلال ثغرة حرجة في Citrix NetScaler ADC وNetScaler Gateway بشكل نشط منذ 27 مارس. تتعلق الثغرة بعدم كفاية التحقق من المدخلات مما يؤدي إلى قراءة زائدة للذاكرة وتسريب معلومات حساسة محتملة. يتطلب الاستغلال أن يكون الجهاز مُهيأً كـمزود هوية SAML.
إجراء مطلوب: قم بالتحديث فوراً. تحقق من تهيئات SAML IDP بحثاً عن مؤشرات الاختراق.
حقن SQL في Fortinet FortiClient EMS — بدء الاستغلال
حرج استغلال-نشط Fortinetتسمح ثغرة حقن SQL حرجة في Fortinet FortiClient EMS للمهاجمين غير المصادقين بتنفيذ تعليمات برمجية عشوائية عن بُعد عبر طلبات HTTP مُعدّة خصيصاً. لوحظ استغلالها في البرية.
🔬 الثغرات الأمنية ومعرّفات CVE
ثغرات RCE في Vim وEmacs اكتشفها Claude AI
عالي RCE اكتشاف-بالذكاء-الاصطناعي Vim Emacsاستخدم الباحث Hung Nguyen نموذج Claude لاكتشاف ثغرات RCE في كل من Vim وGNU Emacs تُفعّل بمجرد فتح ملف.
- Vim: تجاوز معالجة Modeline يسمح بالهروب من صندوق الرمل وتنفيذ أوامر عشوائية. يؤثر على جميع الإصدارات ≤9.2.0271. تم الإصلاح في 9.2.0272.
- Emacs: تكامل vc-git يقرأ ملف
.git/configالذي يتحكم فيه المهاجم وينفذ برامجcore.fsmonitor. يعتبر مشرفو Emacs أن هذه مسؤولية Git — لم يُصلح بعد.
GIGABYTE Control Center — ثغرة كتابة ملفات عشوائية
عالي كتابة-عشوائية GIGABYTEيعاني GIGABYTE Control Center من ثغرة كتابة ملفات عشوائية تسمح للمهاجمين عن بُعد وبدون مصادقة بالوصول إلى الملفات على الأجهزة المصابة.
StrongSwan — تدفق صحيح ناقص يُسقط اتصالات VPN (15 عاماً من الإصدارات)
عالي VPN حرمان-من-الخدمةثغرة تدفق صحيح ناقص قابلة للاستغلال عن بُعد في StrongSwan تسمح للمهاجمين غير المصادقين بإسقاط اتصالات VPN. تمتد الثغرة عبر 15 عاماً من الإصدارات.
إساءة استخدام نموذج أذونات Vertex AI — كشف بيانات Google Cloud
عالي سحابي Google ذكاء-اصطناعيكشف فريق Palo Alto Unit 42 عن نقطة ضعف أمنية في منصة Vertex AI من Google Cloud حيث يمكن تسليح وكلاء الذكاء الاصطناعي للحصول على وصول غير مصرح به إلى بيانات حساسة واختراق البيئات السحابية من خلال إساءة استخدام نموذج الأذونات.
ثغرات CrewAI — هروب من صندوق الرمل عبر حقن التعليمات
عالي وكلاء-ذكاء-اصطناعي هروب-من-صندوق-الرملتسمح ثغرات في إطار عمل CrewAI للمهاجمين باستغلال حقن التعليمات لتسلسل الأخطاء معاً والهروب من صندوق الرمل وتنفيذ تعليمات برمجية عشوائية على الأجهزة المستضيفة.
إصلاح ثغرات OpenAI Codex / ChatGPT
عالي OpenAI تسريب-بياناتأصلحت OpenAI ثغرتين: ثغرة تسريب بيانات في ChatGPT تسمح باستخراج بيانات المحادثات بشكل خفي عبر تعليمة خبيثة واحدة، وثغرة في Codex تمكّن من اختراق رموز GitHub.
📊 خروقات البيانات والحوادث
مجموعة Lloyds المصرفية — كشف معاملات 450,000 مستخدم
عالي اختراق مصرفيأدى تحديث برمجي معيب في مجموعة Lloyds المصرفية إلى كشف بيانات معاملات مستخدمي الخدمات المصرفية عبر الهاتف لمستخدمين آخرين للتطبيق، مما أثّر على نحو 450,000 فرد.
منصة CareCloud الصحية — خرق بيانات محتمل
متوسط رعاية-صحية اختراقأفصحت منصة تكنولوجيا المعلومات الصحية CareCloud عن حادثة أمن سيبراني تتعلق بإحدى بيئات السجلات الصحية الإلكترونية. التحقيق لا يزال جارياً.
تسريب شفرة Anthropic Claude Code المصدرية
متوسط تسريب ذكاء-اصطناعيسرّبت Anthropic عن طريق الخطأ الشفرة المصدرية لـClaude Code (مغلق المصدر) عبر حزمة npm. أكدت الشركة أنه لم يتم كشف أي بيانات عملاء أو بيانات اعتماد.
🦠 البرمجيات الخبيثة وجهات التهديد
حملة Silver Fox / AtlasCross RAT — انتحال أسماء نطاقات على مستوى آسيا
APT RAT انتحال-نطاقاتتُدير مجموعة الجريمة السيبرانية الصينية Silver Fox حملة نشطة باستخدام أكثر من 11 نطاقاً مُنتحلاً تنتحل هوية Surfshark VPN وSignal وTelegram وZoom وMicrosoft Teams وغيرها لتوزيع AtlasCross RAT المُوثّق حديثاً. يمثل هذا تطوراً عن مشتقات Gh0st RAT السابقة.
Venom Stealer — حصاد مستمر لبيانات الاعتماد
سارق-معلومات برمجيات-خبيثة-كخدمةVenom Stealer، برمجية خبيثة كخدمة مُرخّصة مع ثبات وأتمتة مدمجين، تمكّن المهاجمين من سحب بيانات الاعتماد وبيانات الجلسات وأصول العملات المشفرة بشكل مستمر من الأنظمة المخترقة.
TeamPCP تنتقل من البرمجيات مفتوحة المصدر إلى بيئات AWS
سحابي AWS حركة-جانبيةبعد التحقق من بيانات الاعتماد المسروقة باستخدام TruffleHog، لوحظ أن مجموعة القرصنة TeamPCP بدأت في استطلاع خدمات AWS والقيام بأنشطة حركة جانبية — متوسعة من هجمات سلسلة التوريد مفتوحة المصدر إلى اختراق البنية التحتية السحابية.
📡 الاتجاهات الناشئة
أمن وكلاء الذكاء الاصطناعي يصبح مصدر قلق حرج
تُبرز عدة أخبار في هذه الدورة سطح الهجوم المتنامي حول وكلاء الذكاء الاصطناعي:
- هروب CrewAI من صندوق الرمل عبر تسلسل حقن التعليمات
- إساءة استخدام أذونات Vertex AI للوصول إلى البيانات السحابية
- OpenAI Codex اختراق رموز GitHub
- نماذج اللغة الكبيرة تكسر التحكم بالوصول بصمت — تكتب سياسات Rego/Cedar بشروط مفقودة
- إجماع متزايد على أن وكلاء الذكاء الاصطناعي يحتاجون التحقق بمبدأ انعدام الثقة، وليس الثقة الضمنية
تصنيع هجمات سلسلة التوريد على نطاق صناعي
يُظهر اختراق مجموعة TeamPCP المتزامن لـTrivy وLiteLLM وCheckmarx والآن Axios أن هجمات سلسلة التوريد يتم تصنيعها على نطاق واسع. النمط الرئيسي: اختراق حسابات المشرفين → حقن اعتماديات → سرقة بيانات اعتماد CI/CD → التمحور نحو البنية التحتية السحابية.
تسارع تهديد الحوسبة الكمية
أثبت باحثو Google أن كسر تشفير Bitcoin وEthereum يتطلب عدد كيوبتات أقل بـ20 ضعفاً مما كان مُقدّراً سابقاً. رغم أن هذا ليس عملياً بشكل فوري، إلا أنه يُسرّع بشكل كبير الجدول الزمني لإلحاح الانتقال إلى التشفير ما بعد الكمي.
🛠️ الأدوات والإصدارات
Proton Meet — مؤتمرات فيديو تركز على الخصوصية
أطلقت Proton منصة Meet، وهي منصة مؤتمرات فيديو تركز على الخصوصية كبديل لـGoogle Meet وZoom وMicrosoft Teams. مشفرة من طرف إلى طرف بشكل افتراضي.
Censys تجمع 70 مليون دولار لمنصة استخبارات الإنترنت
جمعت Censys مبلغ 70 مليون دولار (المجموع: 149 مليون دولار) لتوسيع منصتها لاستخبارات الإنترنت في مجال إدارة سطح الهجوم وصيد التهديدات.