ثغرة في Notepad++ تعيد فتح ملف هجمات سلاسل التوريد وتثير قلق المؤسسات

 كشف فريق البحث والتحليل العالمي GReAT التابع لشركة كاسبرسكي عن تفاصيل مقلقة تتعلق بثغرة أمنية في سلسلة توريد برنامج Notepad++، أحد أكثر أدوات تحرير النصوص استخدامًا بين المطورين ومسؤولي تكنولوجيا المعلومات حول العالم. وعلى الرغم من أن الإصابات المؤكدة رُصدت في مؤسسات بآسيا وأمريكا اللاتينية، فإن طبيعة الهجوم نفسها تضع حكومات الشرق الأوسط والمؤسسات المالية ومقدمي الخدمات التقنية أمام خطر مماثل، في ظل اعتماد واسع على البرمجيات الشائعة وتحديثاتها الدورية.

 وبحسب نتائج التحقيق، استغل المهاجمون بنية التحديث الخاصة بالبرنامج لتنفيذ هجمات معقدة استهدفت مؤسسة حكومية في الفلبين، ومؤسسة مالية في السلفادور، إلى جانب مزود خدمات تقنية معلومات في فيتنام، فضلًا عن أفراد في ثلاث دول مختلفة. اللافت أن هذه الهجمات لم تعتمد على أسلوب واحد فقط، بل استخدمت ثلاث سلاسل عدوى على الأقل، اثنتان منها لم تكن معروفة سابقًا للعلن، ما يشير إلى مستوى عالٍ من التخفي والتطور.

 تشير كاسبرسكي إلى أن الحملة لم تكن عملية اختراق عابرة أو قصيرة الأمد، بل استمرت لأشهر مع تغييرات شبه شهرية في الأدوات والأساليب. ففي الفترة ما بين يوليو وأكتوبر 2025، أجرى المهاجمون تعديلات جذرية ومتكررة على البرمجيات الخبيثة المستخدمة، وبنية التحكم والسيطرة، وحتى طرق توزيع العدوى. هذا التطور المستمر جعل من الصعب رصد الهجوم في مراحله المبكرة، كما أن ما كُشف عنه علنًا حتى الآن لا يمثل سوى المرحلة الأخيرة من حملة أطول وأكثر تعقيدًا.

 وفي الثاني من فبراير 2026، أعلن مطورو Notepad++ رسميًا عن تعرض بنية التحديث الخاصة بالبرنامج للاختراق، نتيجة حادثة أمنية لدى مزود خدمة الاستضافة. غير أن التقارير التي نُشرت سابقًا ركزت بشكل أساسي على البرمجيات الخبيثة التي جرى اكتشافها في أكتوبر 2025 فقط، ما أدى إلى تجاهل المراحل الأقدم من الهجوم، وتحديدًا تلك التي وقعت بين يوليو وسبتمبر من العام نفسه.

 هذه النقطة تحديدًا تثير قلق خبراء الأمن السيبراني، إذ أوضح باحثو GReAT أن كل سلسلة هجوم استخدمت عناوين IP مختلفة، وأسماء نطاقات مختلفة، وأساليب تنفيذ متباينة، إلى جانب حمولات خبيثة متنوعة. ونتيجة لذلك، فإن المؤسسات التي اكتفت بفحص أنظمتها اعتمادًا على مؤشرات الاختراق الخاصة بشهر أكتوبر ربما أغفلت إصابات سابقة بالكامل دون أن تدرك ذلك.

 جورجي كوتشيرين، كبير باحثي الأمن في فريق GReAT لدى كاسبرسكي، حذر من هذا السيناريو قائلًا إن عدم العثور على مؤشرات الاختراق المعروفة لا يعني بالضرورة أن الأنظمة في مأمن. وأوضح أن البنية التحتية المستخدمة في الهجمات خلال الفترة من يوليو إلى سبتمبر كانت مختلفة كليًا، سواء من حيث العناوين أو النطاقات أو حتى تجزئات الملفات، ما يفتح الباب أمام احتمال وجود سلاسل هجمات إضافية لم تُكتشف بعد.

 ورغم أن الضحايا المؤكدين لا ينتمون إلى منطقة الشرق الأوسط، فإن خصائص هذه الحملة تعكس أنماط تهديد مألوفة تواجهها حكومات المنطقة وبنوكها ومقدمو الخدمات الحيوية فيها. فالاعتماد المتزايد على أدوات المطورين وبرمجيات إدارة تكنولوجيا المعلومات واسعة الانتشار، إلى جانب تسارع مبادرات التحول الرقمي، يجعل هجمات سلاسل التوريد أكثر خطورة وصعوبة في الاكتشاف، خاصة عندما تأتي عبر قنوات يُفترض أنها موثوقة مثل التحديثات الرسمية.

 ويرى خبراء كاسبرسكي أن هذه الحادثة تمثل إنذارًا مبكرًا لمؤسسات الشرق الأوسط، مفاده أن الهجمات التي تبدأ في مناطق جغرافية بعيدة قد تكشف عن نقاط ضعف مشتركة في منظومات البرمجيات، وآليات التحقق من التحديثات، وقدرات الرصد طويل الأمد. فالثقة المفرطة في أدوات شائعة الاستخدام قد تتحول إلى ثغرة خطيرة إذا لم تُدعّم بإجراءات تحقق متعددة ومستقلة.

 وفي إطار تعزيز الشفافية ومساعدة فرق الأمن، نشر فريق GReAT قائمة كاملة بمؤشرات الاختراق التي جرى رصدها، وتشمل ستة تجزئات لبرامج تحديث خبيثة، و14 عنوان URL لخوادم التحكم والسيطرة، وثماني تجزئات لملفات خبيثة لم يُبلّغ عنها سابقًا. وتتيح هذه البيانات للمؤسسات فرصة إعادة فحص أنظمتها بشكل أوسع وأكثر دقة، بدل الاكتفاء بمؤشرات محدودة زمنيًا.

 تؤكد هذه الواقعة أن هجمات سلاسل التوريد لم تعد سيناريو نظريًا أو استثناءً نادرًا، بل أصبحت أداة مفضلة لدى المهاجمين للوصول إلى أهداف عالية القيمة بأقل قدر من الضجيج. ومع اتساع رقعة التحول الرقمي في الشرق الأوسط، تبرز الحاجة الملحة إلى مراجعة سياسات تحديث البرمجيات، وتعزيز المراقبة المستمرة، وعدم التعامل مع أي حادثة أمنية باعتبارها معزولة أو بعيدة عن السياق المحلي.