تتزايد الهجمات الرقمية بشكل مستمر، مما يجعل المؤسسات تواجه تهديدات تتجاوز الحدود الجغرافية والتقنية التقليدية، حيث تكشف الهجمات الأخيرة على برنامج Notepad++ عن تعقيد هذه التهديدات الحديثة، مما يبرز كيفية تأثير المخاطر البرمجية التي قد تبدو بعيدة جغرافيًا على المنظمات حول العالم، بما في ذلك الحكومات والمؤسسات الحيوية في منطقة الشرق الأوسط.

اكتشاف الهجوم وتوزعه الجغرافي

أظهر فريق البحث والتحليل العالمي GReAT في كاسبرسكي وجود ثغرات في سلسلة توريد Notepad++، حيث تم رصدها في مؤسسات في آسيا وأمريكا اللاتينية، واستهدف المهاجمون مؤسسات حكومية في الفلبين، ومؤسسات مالية في السلفادور، ومزودي خدمات تقنية معلومات في فيتنام، بالإضافة إلى أفراد في ثلاث دول أخرى.

استخدمت الحملة ثلاث سلاسل عدوى مختلفة على الأقل، اثنتان منها لا تزال مجهولة للعامة، مما يعكس تعقيد الاستهداف وتنوع أساليب الهجوم.

أساليب المهاجمين وتغيير الأدوات

أجرى المهاجمون تعديلات مستمرة على برمجياتهم الخبيثة وبنية التحكم والسيطرة وأساليب التوزيع تقريبًا كل شهر بين يوليو وأكتوبر 2025، وقد وثقت المرحلة الأخيرة فقط من الحملة علنًا، بينما يظل الجزء الأكبر من الهجمات السابقة غير مكشوف للجمهور، كما يظهر هذا النمط كيف يحافظ المهاجمون على عنصر المفاجأة ويصعب على المؤسسات اكتشاف جميع الثغرات في الوقت الحقيقي.

اختراق بنية التحديث الرسمية

أعلن مطورو Notepad++ في 2 فبراير 2026 عن اختراق بنية التحديث نتيجة حادثة أمنية لدى مزود خدمة الاستضافة، كما كانت التقارير السابقة تركز على البرمجيات الخبيثة التي ظهرت في أكتوبر 2025 فقط، مما جعل المؤسسات غير مدركة للاختلاف الكبير في مؤشرات الاختراق المستخدمة في يوليو وسبتمبر، ويظهر هذا الحدث أهمية متابعة التحديثات والتحقق من موثوقية القنوات الرقمية المستعملة.

تأثير الحملة على المؤسسات وكيفية رصدها

استخدمت كل سلسلة هجمات عناوين IP ونطاقات وأساليب تنفيذ وحمولات مختلفة، مما جعل من الصعب اكتشاف جميع الإصابات السابقة، كما تم حظر جميع الهجمات المحددة فور وقوعها، لكن استمرار تغير أدوات المهاجمين يعني احتمال وجود سلاسل هجمات إضافية لم يتم اكتشافها بعد، وقد أشار كبار الباحثين إلى أن الاعتماد على مؤشرات اختراق سابقة قد يعطي إحساسًا زائفًا بالأمان.

الدروس والتحذيرات للمؤسسات في الشرق الأوسط

تعكس خصائص هذه الحملة نماذج تهديد شائعة يمكن أن تواجه الحكومات والبنوك ومقدمي الخدمات الحيوية في الشرق الأوسط، فاعتماد المنطقة الكبير على أدوات البرمجة وإدارة تكنولوجيا المعلومات واسعة الانتشار، إلى جانب تسارع مبادرات التحول الرقمي، يجعل هجمات مماثلة صعبة الكشف ومرتفعة التأثير.

ونشر فريق GReAT قائمة كاملة بمؤشرات الاختراق، بما في ذلك تجزئات البرامج الخبيثة، وعناوين URL لخوادم التحكم والسيطرة، وتجزئات لم يبلغ عنها سابقًا، مما يوفر قاعدة لمراجعة أمان المؤسسات والتحقق من التهديدات المحتملة على المدى الطويل.