كشف فريق البحث والتحليل العالمي (GReAT) التابع لشركة كاسبرسكي عن رصد هجمات سيبرانية معقدة استهدفت سلسلة توريد برنامج Notepad++ الشهير، في واقعة تسلط الضوء على مخاطر أمنية متزايدة مرتبطة بالاعتماد على أدوات برمجية واسعة الانتشار، خاصة لدى الحكومات والمؤسسات المالية ومقدمي الخدمات.
وأوضحت كاسبرسكي أن الهجمات تم رصدها داخل مؤسسات في عدد من دول آسيا وأمريكا اللاتينية، من بينها مؤسسة حكومية في الفلبين، ومؤسسة مالية في السلفادور، ومزود خدمات تقنية معلومات في فيتنام، إلى جانب أفراد في ثلاث دول أخرى، حيث استخدم المهاجمون ما لا يقل عن ثلاث سلاسل عدوى مختلفة، اثنتان منها لم تكن معروفة من قبل للباحثين الأمنيين.
وأشار التقرير إلى أن المهاجمين أجروا تغييرات واسعة النطاق على البرمجيات الخبيثة، وبنية التحكم والسيطرة، وطرق التوزيع، بشكل شبه شهري خلال الفترة من يوليو وحتى أكتوبر 2025، ما يعكس مستوى عالٍ من الاحتراف والتخفي. وبيّن أن سلسلة الهجوم التي تم توثيقها علنًا حتى الآن لا تمثل سوى المرحلة الأخيرة من حملة أطول وأكثر تعقيدًا.
وفي الثاني من فبراير 2026، أعلن مطورو برنامج Notepad++ عن تعرض بنية التحديث الخاصة بالبرنامج للاختراق، نتيجة حادثة أمنية لدى مزود خدمة الاستضافة، وهو ما يفسر انتشار التهديد عبر التحديثات الرسمية. وأكدت كاسبرسكي أن التقارير السابقة ركزت فقط على البرمجيات الخبيثة التي تم اكتشافها في أكتوبر 2025، ما أدى إلى تجاهل اختلاف مؤشرات الاختراق المستخدمة في الفترة من يوليو إلى سبتمبر من العام نفسه.
وبيّن خبراء الأمن أن كل سلسلة هجوم استخدمت عناوين IP خبيثة مختلفة، وأسماء نطاقات وأساليب تنفيذ وحمولات متباينة، الأمر الذي قد يكون تسبب في فشل بعض المؤسسات في اكتشاف الإصابات المبكرة، إذا اقتصر فحصها على مؤشرات الاختراق المرتبطة بشهر أكتوبر فقط. وأكدت كاسبرسكي أن حلولها الأمنية تمكنت من حظر جميع الهجمات التي تم التعرف عليها فور وقوعها.
وقال جورجي كوتشيرين، كبير باحثي الأمن في فريق GReAT لدى كاسبرسكي، إن المؤسسات التي لم تعثر على مؤشرات اختراق معروفة لا ينبغي أن تفترض أنها في مأمن، موضحًا أن البنية التحتية للهجمات خلال الفترة من يوليو إلى سبتمبر كانت مختلفة تمامًا من حيث العناوين والنطاقات وتجزئات الملفات، ولا يمكن استبعاد وجود سلاسل هجوم إضافية لم يتم اكتشافها بعد.
ورغم أن الضحايا المؤكدين كانوا خارج منطقة الشرق الأوسط، فإن كاسبرسكي حذرت من أن طبيعة هذه الحملة تتشابه مع أنماط التهديدات التي تواجه حكومات المنطقة وبنوكها ومقدمي الخدمات الحيوية، خاصة في ظل الاعتماد الواسع على أدوات إدارة تكنولوجيا المعلومات وبرامج المطورين، إلى جانب تسارع مبادرات التحول الرقمي.
وأكد خبراء كاسبرسكي أن هذه الحملة تمثل جرس إنذار للمؤسسات في الشرق الأوسط، حيث تُبرز الحاجة إلى تعزيز موثوقية البرمجيات، والتحقق الدقيق من التحديثات، ومراقبة التهديدات على المدى الطويل، حتى وإن كانت الحوادث الأمنية قد وقعت في مناطق جغرافية بعيدة.
كما أعلن فريق GReAT عن نشر القائمة الكاملة لمؤشرات الاختراق المرتبطة بهذه الحملة، والتي تشمل ستة تجزئات لبرامج تحديث خبيثة، و14 عنوان URL لخوادم التحكم والسيطرة، وثمانية تجزئات لملفات خبيثة لم يُبلّغ عنها سابقًا، مع إتاحة التحليل الفني الكامل عبر موقع Securelist المتخصص.
موضوعات متعلقة
ـ تسريبات iPhone 18 تكشف تغييرات جذرية في واجهة البرو.. ما القصة؟
ـ Lava الهندية تكشف عن Blaze Duo 3 بشاشتين ومواصفات مذهلة
ـ هل تعمل AirPods مع أندرويد وويندوز؟ ما يجب معرفته قبل الاستخدام
