محتويات المقال
هجوم على سلسلة التوريد يضرب أداة تطوير شهيرة
كشف مطور محرر النصوص المفتوح المصدر Notepad++، الذي يُستخدم على نطاق واسع بين المبرمجين ومحترفي تكنولوجيا المعلومات، عن هجوم إلكتروني مطول نفذه هاكرز مدعومون من الحكومة الصينية. سمح الاختراق للمهاجمين بسرقة تحديثات البرمجيات، وإسقاط برمجيات خبيثة على مجموعة محددة من المستخدمين بين يونيو وديسمبر 2025.
في منشور مدونة بتاريخ 2 فبراير 2026، أكد دون هو، مطور Notepad++، اكتشافات باحث أمني كيفن بومونت الذي كشف الهجوم أولاً في ديسمبر 2025. استهدف الهاكرز منظمات لها مصالح في شرق آسيا.
كيفية تنفيذ الاختراق
كان موقع Notepad++ مستضافاً على خادم مشترك، استهدفه المهاجمون تحديداً. استغلوا ثغرة أمنية لإعادة توجيه حركة مرور بعض المستخدمين إلى خادم خبيث تحت سيطرتهم. عند طلب التحديثات، حصلوا الضحايا على إصدارات ملوثة تمنح الهاكرز وصولاً مباشراً إلى أجهزتهم.
طبيعة الهجوم الانتقائية التي أثرت على عدد قليل من المنظمات فقط تشير إلى عمليات تجسس مدعومة من دولة. أشار هو إلى أن ذلك يتوافق مع أساليب التهديدات المستمرة المتقدمة (APTs) المرتبطة ب الصين. الآلية الدقيقة للدخول إلى الخوادم لا تزال قيد التحقيق، لكن الثغرة تم إصلاحها في نوفمبر 2025، وانقطع وصول الهاكرز في أوائل ديسمبر.
التحليل الفني
- الهدف: نطاق موقع Notepad++ وخوادم التحديث.
- الطريقة: إعادة توجيه الحركة عبر ثغرة في الاستضافة المشتركة.
- الحمولة: تحديثات خبيثة تتيح الوصول عن بعد.
- المدة: حوالي ستة أشهر (يونيو-ديسمبر 2025).
- الضحايا: محدودة بكيانات مهتمة بشرق آسيا، تجنباً للانتشار الواسع.
هذه الدقة تعكس عمليات الدول، حيث يُفضل السرية على الفوضى.
السياق الصناعي الأوسع
يذكر حادث Notepad++ بهجوم SolarWinds الشهير بين 2019-2020. في ذلك الحين، زرع هاكرز روس باباً خلفياً في تحديثات برنامج Orion، مما أضر آلاف المنظمات بما فيها وكالات حكومية أمريكية. تثبيت الضحايا للتحديثات الروتينية منح الجواسيس وصولاً إلى الشبكات.
ارتفعت هجمات سلسلة التوريد مؤخراً، مستغلة الثقة في البرمجيات الشرعية. أدوات مثل Notepad++، التي تحظى بملايين التنزيلات، أهداف رئيسية بسبب انتشارها في بيئات التطوير.
رغم احتواء الاختراق، يبرز نقاط ضعف في توزيع البرمجيات المفتوحة المصدر. واجه المستخدمون المصابون خطر سرقة البيانات أو الاختراق الإضافي، خاصة في القطاعات الحساسة. شدد هو على تعقيد الهجوم، الذي ركز على جمع المعلومات الاستخباراتية.
يواجه مجتمع المطورين الآن تدقيقاً أكبر لسلامة التحديثات. يُنصح بالتحقق من قيم التحقق (checksums)، استخدام التحديثات الموقعة، وعزل أدوات التطوير عن الإنتاج.
دروس لأمن البرمجيات
يكشف الحادث عن فجوات حاسمة:
- الاستضافة المشتركة تعرض النطاقات لمخاطر الحركة الجانبية.
- آليات التحديث يجب أن تفرض تثبيت الشهادات وتحقق النطاق.
- يجب فصل أدوات المطورين عن بيئات الإنتاج.
مع تصاعد استهداف الدول لسلاسل توريد البرمجيات، تتطلب أدوات مثل Notepad++ الأساسية للبرمجة وتحليل السجلات والسكريبتات حمايات قوية. يُنصح المستخدمون بتحديث الإصدار الأحدث وفحص الأنظمة ببرامج مكافحة الفيروسات.
الكشف يُعد إنذاراً للصناعة نحو معمارية الثقة الصفرية حتى للمشاريع المفتوحة المصدر الموثوقة.