هجمات خفية تستهدف Notepad++ وتكشف مخاطر سلاسل التوريد.
اكتشاف الهجوم وتوزعه الجغرافي
كشف فريق البحث والتحليل العالمي GReAT في كاسبرسكي وجود ثغرات في سلسلة توريد Notepad++، رصدت في مؤسسات في آسيا وأمريكا اللاتينية. استهدف المهاجمون مؤسسات حكومية في الفلبين، ومؤسسات مالية في السلفادور، ومزودي خدمات تقنية معلومات في فيتنام، بالإضافة إلى أفراد في ثلاث دول أخرى.
استخدمت الحملة ثلاث سلاسل عدوى مختلفة على الأقل، اثنتان منها لا تزال مجهولة للعامة، ما يعكس تعقيد الاستهداف وتنوع أساليب الهجوم.
أساليب المهاجمين وتغيير الأدوات
نفّذ المهاجمون تعديلات مستمرة على برمجياتهم الخبيثة وبنية التحكم والسيطرة وأساليب التوزيع تقريبًا كل شهر بين يوليو وأكتوبر 2025. وتمت مشاركة المرحلة الأخيرة علنًا فقط، بينما يظل جزء كبير من الهجمات السابقة غير مكشوف، ما يبرز كيف يحافظ المهاجمون على عنصر المفاجأة ويصعب على المؤسسات اكتشاف كل الثغرات في الوقت الفعلي.
يظهر النمط أن المهاجمين يغيرون الأدوات والأساليب بشكل دوري، ما يجعل رصد الهجمات والاستجابة لها أمراً صعباً في الوقت الفعلي.
اختراق بنية التحديث الرسمية
كشف مطورو Notepad++ في 2 فبراير 2026 عن اختراق بنية التحديث ناجم عن حادثة أمنية لدى مزود خدمة الاستضافة، فيما أشارت تقارير سابقة إلى وجود البرمجيات الخبيثة التي ظهرت في أكتوبر 2025 فقط. وهذا الخلاف في مؤشرات الاختراق بين يوليو وسبتمبر يجعل المؤسسات غير مدركة لأبعاد الخطر، ويؤكد ضرورة متابعة التحديثات والتحقق من موثوقية قنوات التوزيع الرقمية.
تأثير الحملة على المؤسسات وكيفية رصدها
اعتمدت كل سلسلة هجمات على عناوين IP ونطاقات وأساليب تنفيذ وحمولات مختلفة، ما صعّب اكتشاف الإصابات السابقة. تم حظر الهجمات عند وقوعها، ولكن استمرار تغير أدوات المهاجمين يترك احتمالية وجود سلاسل إضافية لم تُكتشف بعد. وأكد باحثون أن الاعتماد على مؤشرات اختراق سابقة قد يخلق شعوراً زائفاً بالأمان.
الدروس والتحذيرات للمؤسسات في الشرق الأوسط
تبرز هذه الحملة نماذج تهديد مألوفة تواجهها الحكومات والبنوك ومقدمو الخدمات الحيوية في الشرق الأوسط، خصوصاً مع الاعتماد الكبير في المنطقة على أدوات البرمجة وإدارة تكنولوجيا المعلومات وتزايد مبادرات التحول الرقمي، ما يجعل هجمات مثلها صعبة الكشف وتؤثر بشكل كبير.
نشر فريق GReAT قائمة كاملة بمؤشرات الاختراق، منها تجزئات البرمجيات الخبيثة وروابط خوادم التحكم والسيطرة وتجزئات لم تُبلغ عنها سابقاً، لتكون قاعدة مراجعة أمان المؤسسات والتحقق من التهديدات المحتملة على المدى الطويل.