تظهر سلسلة الهجمات الحديثة على Notepad++ تعقيدات التهديدات الرقمية وتبيّن كيف يمكن لمخاطر برمجية بعيدة جغرافيًا أن تؤثر على المؤسسات في العالم، بما فيها الحكومات والمؤسسات الحيوية في الشرق الأوسط.
اكتشاف الهجوم وتوزعه الجغرافي
أعلن فريق البحث والتحليل العالمي GReAT لدى كاسبرسكي عن وجود ثغرات في سلسلة توريد Notepad++, ورُصدت في مؤسسات في آسيا وأمريكا اللاتينية. استُهدف المهاجمون مؤسسات حكومية في الفلبين، ومؤسسات مالية في السلفادور، ومزودي خدمات تقنية معلومات في فيتنام، إضافة إلى أفراد في ثلاث دول أخرى.
استخدمت الحملة ثلاث سلاسل عدوى على الأقل، اثنتان منها مجهولتان للعامة، ما يعكس تعقيد الاستهداف وتنوع أساليب الهجوم.
أساليب المهاجمين وتغيير الأدوات
أجرى المهاجمون تعديلات مستمرة على برمجياتهم الخبيثة وبنية التحكم والتوزيع تقريبًا كل شهر بين يوليو وأكتوبر 2025، وقد وثّقت المرحلة الأخيرة من الحملة علنًا فقط بينما يظل الجزء الأكبر من الهجمات السابقة غير مكشوف للجمهور. يظهر هذا النمط كيف يحافظ المهاجمون على عنصر المفاجأة ويصعب على المؤسسات اكتشاف جميع الثغرات في الوقت الحقيقي.
اختراق بنية التحديث الرسمية
أعلن مطورو Notepad++ في 2 فبراير 2026 عن اختراق لبنية التحديث نتيجة حادثة أمنية لدى مزود خدمة الاستضافة، بينما ركّزت التقارير السابقة على ظهور برمجيات خبيثة في أكتوبر 2025 فقط، مما يجعل الفرق في مؤشرات الاختراق بين يوليو وسبتمبر بارزًا ويؤكد أهمية متابعة التحديثات والتحقق من موثوقية قنوات التوريد الرقمية.
تأثير الحملة على المؤسسات وكيفية رصدها
استخدمت كل سلسلة هجوم عناوين IP ونطاقات وأساليب تنفيذ وحمولات مختلفة، ما يصعّب اكتشاف الإصابات السابقة بشكل كامل. تم رفض جميع الهجمات المعروفة عند وقوعها، لكن استمرار تغيّر أدوات المهاجمين يُشير إلى احتمال وجود سلاسل جديدة لم تُكشف بعد. وأشار كبار الباحثين إلى أن الاعتماد على مؤشرات اختراق قديمـة يعطي إحساسًا زائفًا بالأمان.
الدروس والتحذيرات للمؤسسات في الشرق الأوسط
تعكس خصائص هذه الحملة نماذج تهديد شائعة قد تواجه الحكومات والبنوك ومقدمي الخدمات الحيوية في الشرق الأوسط، فاعتماد المنطقة الكبير على أدوات البرمجة وإدارة تكنولوجيا المعلومات، بجانب مبادرات التحول الرقمي السريعة، يجعل هجمات مماثلة صعبة الكشف ومرتفعة التأثير. ونشر فريق GReAT قائمة كاملة بمؤشرات الاختراق، بما في ذلك تجزئات البرمجيات الخبيثة وعناوين خوادم التحكم والسيطرة وتجزئات لم تبلغ سابقًا، مما يوفر قاعدة لمراجعة أمان المؤسسات والتحقق من التهديدات المحتملة على المدى الطويل.
