فينتك جيت: ريهام علي
كشفت كاسبرسكي، من خلال فريق البحث والتحليل العالمي (GReAT)، عن حملة هجوم معقدة استغلت ثغرات في سلسلة توريد برنامج Notepad++، في واحدة من أخطر الهجمات التي تستهدف أدوات برمجية واسعة الانتشار يعتمد عليها المطورون ومؤسسات تكنولوجيا المعلومات حول العالم.
ورغم أن الهجمات التي تم رصدها استهدفت مؤسسات في آسيا وأمريكا اللاتينية. فإن كاسبرسكي حذرت من أن طبيعة هذه الحملة تعكس تهديدًا مباشرًا وذا صلة بحكومات الشرق الأوسط، والمؤسسات المالية. ومقدمي الخدمات الحيوية الذين يعتمدون بشكل كبير على أدوات برمجية شائعة ضمن بيئات العمل الرقمية.
حملة متعددة المراحل وسلاسل عدوى غير مسبوقة
وأوضح باحثو فريق GReAT أن المهاجمين استهدفوا مؤسسة حكومية في الفلبين، ومؤسسة مالية في السلفادور، ومزود خدمات تقنية معلومات في فيتنام. كما إضافة إلى أفراد في ثلاث دول مختلفة، مستخدمين ما لا يقل عن ثلاث سلاسل عدوى مختلفة، اثنتان منها لم تكن معروفة للعامة من قبل.
وأشارت كاسبرسكي إلى أن المهاجمين أجروا تغييرات جذرية ومتكررة على البرمجيات الخبيثة، وبنية التحكم والسيطرة (C2). وأساليب التوزيع، بشكل شبه شهري خلال الفترة من يوليو إلى أكتوبر 2025. كما تمثل سلسلة الهجوم الوحيدة التي جرى توثيقها علنًا حتى الآن المرحلة الأخيرة فقط من حملة أطول وأكثر تعقيدًا.
اختراق بنية التحديث والتنبيه المتأخر
وكان مطورو برنامج Notepad++ قد أعلنوا في 2 فبراير 2026 عن اختراق بنية التحديث الخاصة بالبرنامج، نتيجة حادثة أمنية لدى مزود خدمة الاستضافة. إلا أن التقارير السابقة ركزت حصريًا على البرمجيات الخبيثة التي جرى اكتشافها في أكتوبر 2025. كما أدى إلى تجاهل اختلاف مؤشرات الاختراق المستخدمة خلال الفترة من يوليو إلى سبتمبر من العام نفسه.
وبينت كاسبرسكي أن كل سلسلة هجوم استخدمت عناوين IP خبيثة مختلفة، ونطاقات مختلفة. وأساليب تنفيذ وحمولات متباينة. وهو ما يعني أن المؤسسات التي اكتفت بفحص أنظمتها استنادًا إلى مؤشرات أكتوبر فقط قد تكون أغفلت إصابات سابقة بالكامل. وأكدت الشركة أن حلولها الأمنية نجحت في حظر جميع الهجمات التي تم تحديدها فور حدوثها.
تحذير للمدافعين السيبرانيين
وقال جورجي كوتشيرين، كبير باحثي الأمن في فريق GReAT لدى كاسبرسكي لا ينبغي للمدافعين الذين فحصوا أنظمتهم اعتمادًا على مؤشرات الاختراق المعروفة فقط ولم يعثروا على شيء أن يفترضوا أنهم في مأمن. فالبنية التحتية المستخدمة بين يوليو وسبتمبر كانت مختلفة تمامًا. من حيث عناوين IP والنطاقات وتجزئات الملفات. ومع التغييرات المستمرة في أدوات المهاجمين، لا يمكن استبعاد وجود سلاسل هجوم إضافية لم يتم اكتشافها بعد.”
دلالات خطيرة على مؤسسات الشرق الأوسط
ورغم أن الضحايا المؤكدين كانوا خارج منطقة الشرق الأوسط، أكدت كاسبرسكي أن خصائص هذه الحملة تعكس نماذج التهديدات التي تواجه حكومات المنطقة وبنوكها ومقدمي الخدمات الحيوية. ويُعد الاعتماد الواسع على أدوات المطورين ومنصات إدارة تكنولوجيا المعلومات. إلى جانب تسارع مبادرات التحول الرقمي، عاملًا يزيد من احتمالات نجاح هجمات سلسلة التوريد وصعوبة اكتشافها.
كما شددت الشركة على أن هذه الحملة تمثل تحذيرًا واضحًا لمؤسسات الشرق الأوسط من أن الحوادث التي تقع في مناطق جغرافية بعيدة قد تكشف عن ثغرات محلية محتملة في موثوقية البرمجيات. وآليات التحقق من التحديثات، وقدرات الرصد طويل الأمد للتهديدات.
تفاصيل فنية ومؤشرات اختراق
كما أعلن فريق GReAT عن نشر القائمة الكاملة لمؤشرات الاختراق، والتي تشمل ستة تجزئات لبرامج تحديث خبيثة. و14 رابطًا لخوادم التحكم والسيطرة، وثمانية تجزئات لملفات خبيثة لم يتم الإبلاغ عنها سابقًا. وتتوافر القائمة الكاملة والتحليل الفني التفصيلي عبر موقع Securelist.
في هذا السياق، ومن ناحية أخرى، هناك العديد من الأخبار المرتبطة بالقطاع والتي يمكنك متابعتها:
- «كاسبرسكي» تكشف تصاعد هجمات التصيّد الإلكتروني المتقدمة في الشرق الأوسط
- «كاسبرسكي» تطلق نسخة مطوّرة من منصة «SIEM» مدعومة بالذكاء الاصطناعي لكشف اختراق الحسابات
- «كاسبرسكي» تطلق حاسبة«OT» لمساعدة الشركات الصناعية على تقدير التكلفة المالية لمخاطر الأمن السيبراني
