تستمر الهجمات الرقمية في التغير والتطور، تاركة المؤسسات في مواجهة تهديدات تتجاوز حدود الجغرافيا والتقنية التقليدية، تكشف سلسلة الهجمات الأخيرة على برنامج Notepad++ عن تعقيد التهديدات الحديثة، وتبرز كيف يمكن لمخاطر برمجية تبدو بعيدة جغرافيًا أن تؤثر على المنظمات في كل أنحاء العالم، بما في ذلك الحكومات والمؤسسات الحيوية في الشرق الأوسط.
اكتشاف الهجوم وتوزعه الجغرافي
أظهر فريق البحث والتحليل العالمي GReAT في كاسبرسكي وجود ثغرات في سلسلة توريد Notepad++، رصدت في مؤسسات في آسيا وأمريكا اللاتينية. استهدف المهاجمون مؤسسات حكومية في الفلبين، ومؤسسات مالية في السلفادور، ومزودي خدمات تقنية معلومات في فيتنام، بالإضافة إلى أفراد في ثلاث دول أخرى.
استخدمت الحملة ثلاث سلاسل عدوى مختلفة على الأقل، اثنتان منها لا تزال مجهولة للعامة، ما يعكس تعقيد الاستهداف وتنوع أساليب الهجوم.
أساليب المهاجمين وتغيير الأدوات
أجرى المهاجمون تعديلات مستمرة على برمجياتهم الخبيثة وبنية التحكم والسيطرة وأساليب التوزيع تقريبًا كل شهر بين يوليو وأكتوبر 2025، وقد وثقت المرحلة الأخيرة فقط من الحملة علنًا، في حين يظل الجزء الأكبر من الهجمات السابقة غير مكشوف للجمهور، كما يظهر هذا النمط كيف يحافظ المهاجمون على عنصر المفاجأة ويصعب على المؤسسات اكتشاف جميع الثغرات في الوقت الحقيقي.
اختراق بنية التحديث الرسمية
أعلن مطورو Notepad++ في 2 فبراير 2026 عن اختراق بنية التحديث نتيجة حادثة أمنية لدى مزود خدمة الاستضافة، كما كانت التقارير السابقة تركز على البرمجيات الخبيثة التي ظهرت في أكتوبر 2025 فقط، مما جعل المؤسسات غير مدركة للاختلاف الكبير في مؤشرات الاختراق المستخدمة في يوليو وسبتمبر، ويظهر هذا الحدث أهمية متابعة التحديثات والتحقق من موثوقية القنوات الرقمية المستعملة.
تأثير الحملة على المؤسسات وكيفية رصدها
استخدمت كل سلسلة هجمات عناوين IP ونطاقات وأساليب تنفيذ وحمولات مختلفة، ما جعل من الصعب اكتشاف جميع الإصابات السابقة، كما تم حظر جميع الهجمات المحددة فور وقوعها، لكن استمرار تغير أدوات المهاجمين يعني احتمال وجود سلاسل هجمات إضافية لم يتم اكتشافها بعد، وقد أشار كبار الباحثين إلى أن الاعتماد على مؤشرات اختراق سابقة قد يعطي إحساسًا زائفًا بالأمان.
الدروس والتحذيرات للمؤسسات في الشرق الأوسط
تعكس خصائص هذه الحملة نماذج تهديد شائعة يمكن أن تواجه الحكومات والبنوك ومقدمي الخدمات الحيوية في الشرق الأوسط، فاعتماد المنطقة الكبير على أدوات البرمجة وإدارة تكنولوجيا المعلومات واسعة الانتشار، إلى جانب تسارع مبادرات التحول الرقمي، يجعل هجمات مماثلة صعبة الكشف ومرتفعة التأثير.
ونشر فريق GReAT قائمة كاملة بمؤشرات الاختراق، بما في ذلك تجزئات البرامج الخبيثة، وعناوين URL لخوادم التحكم والسيطرة، وتجزئات لم يبلغ عنها سابقًا، ما يوفر قاعدة لمراجعة أمان المؤسسات والتحقق من التهديدات المحتملة على المدى الطويل.