هجوم خفي في سلسلة توريد برنامج Notepad++ بسبب عناوين IP خبيثة
ظهرت ثغرات تقنية في سلسلة توريد برنامج Notepad++، والتي على الرغم من رصدها في المؤسسات في جميع أنحاء آسيا وأمريكا اللاتينية، إلا أنها تسلط الضوء على خطر ذي صلة مماثلة بحكومات الشرق الأوسط والمؤسسات المالية ومقدمي الخدمات الذين يعتمدون على أدوات برمجية واسعة الانتشار، بحسب كشف فريق البحث والتحليل العالمي (GReAT) لدى كاسبرسكي.
هجوم خفي في سلسلة توريد برنامج Notepad++
اكتشف باحثو فريق GReAT أن المهاجمين استهدفوا مؤسسة حكومية في الفلبين، ومؤسسة مالية في السلفادور، ومزود خدمات تقنية معلومات في فيتنام، وأفرادًا في ثلاث دول، مستخدمين ثلاث سلاسل عدوى مختلفة على الأقل، اثنتان منها لا تزالان مجهولتين للعامة.
أجرى المهاجمون تغييرات جذرية على برمجياتهم الخبيثة، وبنية التحكم والسيطرة، وأساليب التوزيع، بشكل شهري تقريبًا بين يوليو وأكتوبر 2025. وتمثل سلسلة الهجوم الوحيدة الموثقة علنًا حتى الآن المرحلة الأخيرة فقط من حملة أطول وأكثر تعقيدًا.
أعلن مطورو برنامج Notepad++، عن اختراق بنية التحديث الخاصة بهم نتيجة لحادثة أمنية لدى مزود خدمة الاستضافة، وركزت التقارير السابقة المنشورة حصرًا على البرمجيات الخبيثة التي رُصدت في أكتوبر 2025، ما جعل المؤسسات غير مدركة لاختلاف مؤشرات الاختراق المستخدمة بين يوليو وسبتمبر.
استخدمت كل سلسلة هجمات عناوين IP خبيثة مختلفة، وأسماء نطاقات مختلفة، وأساليب تنفيذ مختلفة، وحمولات مختلفة. وقد تكون المؤسسات التي اقتصر فحصها على مؤشرات أكتوبر قد أغفلت الإصابات السابقة تمامًا. وقد حظرت حلول كاسبرسكي جميع الهجمات التي تم تحديدها فور وقوعها.
وقال جورجي كوتشيرين، كبير باحثي الأمن في فريق البحث والتحليل العالمي (GReAT): "لا ينبغي للمدافعين الذين فحصوا أنظمتهم مقابل مؤشرات الاختراق المعروفة ولم يجدوا شيئًا أن يفترضوا أنهم في مأمن. فقد كانت البنية التحتية للفترة من يوليو إلى سبتمبر مختلفة تمامًا - عناوين IP مختلفة، ونطاقات مختلفة، وتجزئات ملفات مختلفة. ونظرًا لتكرار تغيير هؤلاء المهاجمين لأدواتهم، لا يمكننا استبعاد وجود سلاسل هجمات إضافية لم يتم اكتشافها بعد."
وبينما كان الضحايا المؤكدون موجودين خارج الشرق الأوسط، فإن خصائص الحملة تعكس نماذج التهديدات التي تواجه حكومات الشرق الأوسط وبنوكه ومقدمي الخدمات الحيوية. إن اعتماد المنطقة الكبير على أدوات المطورين وإدارة تكنولوجيا المعلومات واسعة الانتشار، إلى جانب مبادرات التحول الرقمي المتسارعة، يجعل هجمات مماثلة على سلاسل التوريد أمرًا واردًا وصعب الكشف في الوقت نفسه.
