تحديث خفي: كيف حوّل قراصنة صينيون Notepad++ إلى أداة تجسّس سيبراني

العنوان الفرعي: تحديثات برمجية خبيثة سلّمت برامج تجسّس سرّاً إلى أهداف عالية القيمة عبر المحرّر الشهير مفتوح المصدر.

بدأ الأمر كتحديث برمجي روتيني. لكن بالنسبة لمجموعة مختارة من المؤسسات عبر الحكومات وشركات الاتصالات والبنى التحتية الحيوية، أصبح النقر على “تحديث” في Notepad++ - محرّر النصوص مفتوح المصدر ذائع الصيت عالمياً - الخطوة الأولى في عملية تجسّس سيبراني متقدمة. وعلى مدى عدة أشهر في عام 2025، اختطف قراصنة مرتبطون بالدولة الصينية بهدوء آلية تحديث البرنامج، ودسّوا برمجيات خبيثة إلى أيدي مستخدمين غير مرتابين، وحصلوا على وصول خفي إلى بعض أكثر الشبكات حساسية في العالم.

حقائق سريعة

مهاجمون مرتبطون بالمجموعة الصينية Lotus Blossom اخترقوا تحديثات Notepad++ من يونيو إلى ديسمبر 2025.
لم يتلقَّ التحديثات الخبيثة سوى جزء مستهدف من المستخدمين - خصوصاً في الحكومة والقطاعات الاستراتيجية.
استغلّ المهاجمون ثغرة في خادم الاستضافة المشتركة الخاص بـ Notepad++ لإعادة توجيه طلبات التحديث.
تم اكتشاف هجوم سلسلة التوريد وإصلاحه في نوفمبر 2025؛ وتم حظر الوصول بالكامل بحلول ديسمبر.
تعكس العملية اختراق SolarWinds سيّئ السمعة، لكن بأصل صيني بدلاً من روسي.

وفقاً لشركة الأمن Rapid7، حملت العملية بصمات Lotus Blossom، وهي مجموعة قرصنة يُشتبه منذ زمن في قيامها بعمليات تجسّس سيبراني لصالح بكين. ولم تكن الأهداف عشوائية: فقد ركّزت حملة البرمجيات الخبيثة على صناعات حساسة تشمل وكالات حكومية، وعمالقة الاتصالات، والطيران، والبنى التحتية الحيوية، والمؤسسات الإعلامية - وهي جهات يمكن لبياناتها أن تغذّي عمليات استخباراتية أو مناورات جيوسياسية.

تم رصد الاختراق لأول مرة من قبل الباحث كيفن بومونت، الذي لاحظ غرائب في حركة التحديث القادمة من نطاق Notepad++. وكان المهاجمون قد استغلوا ثغرة في بيئة الاستضافة المشتركة للمشروع، ما أتاح لهم إعادة توجيه طلبات التحديث من مستخدمين محددين إلى خادم خبيث. وهناك، تم تقديم نسخة مخترقة من Notepad++، مدمجاً فيها سراً برنامج تجسّس صُمّم لمنح المهاجمين وصولاً خفياً ودائماً إلى أنظمة الضحايا.

واللافت أن الهجوم كان انتقائياً للغاية. فلم يتلقَّ التحديثات الملوّثة سوى جزء من المستخدمين - أولئك الذين يهمّون الاستخبارات الصينية. ولم تجعل هذه الدقة الحملة أصعب في الاكتشاف فحسب، بل عظّمت أيضاً أثرها على الأهداف ذات القيمة العالية.

وأكد دون هو، مبتكر Notepad++، الاختراق في بيان علني، معتذراً للمستخدمين وحاثّاً إياهم على التحديث فوراً. وقد تم إصلاح الثغرة في نوفمبر 2025، وفشلت محاولات لاحقة من المهاجمين لاستعادة الوصول.

وقد أثارت الحادثة مقارنات بهجوم سلسلة التوريد على SolarWinds، الذي أتاح لقراصنة روس التسلل إلى وكالات حكومية أمريكية عبر تحديث برمجي مخترق. وفي كلتا الحالتين، تحوّلت برمجيات موثوقة إلى حصان طروادة - نقطة دخول لجواسيس مدعومين من دول. ويؤكد اختراق Notepad++ تصاعد التهديد الذي يطال مشاريع المصادر المفتوحة، والتي تُستهدف بشكل متزايد من خصوم ذوي موارد كبيرة بسبب شعبيتها والثقة بها.

بالنسبة للمستخدمين والمؤسسات، الدرس صارخ: حتى أكثر البرمجيات موثوقية يمكن أن تتحول إلى سلاح في أيدي مهاجمين متطورين. لم تعد اليقظة، والترقيع السريع، والتدقيق في سلسلة التوريد خيارات - بل هي خط الدفاع الأخير في عصر قد يكون فيه كل تحديث باباً خلفياً محتملاً.

WIKICROOK

هجوم سلسلة التوريد: هجوم سلسلة التوريد هو هجوم سيبراني يساوم مزوّدي البرمجيات أو العتاد الموثوقين، ناشراً برمجيات خبيثة أو ثغرات إلى العديد من المؤسسات دفعة واحدة.
البرمجيات الخبيثة: البرمجيات الخبيثة هي برنامج ضار صُمّم للتسلل إلى الأجهزة الحاسوبية أو إتلافها أو سرقة البيانات منها دون موافقة المستخدم.
ثغرة: الثغرة هي نقطة ضعف في البرمجيات أو الأنظمة يمكن للمهاجمين استغلالها للحصول على وصول غير مصرح به، أو سرقة البيانات، أو إحداث ضرر.
الحمولة: الحمولة هي الجزء الضار من الهجوم السيبراني، مثل فيروس أو برنامج تجسّس، يُسلَّم عبر رسائل بريد خبيثة أو ملفات عندما يتفاعل الضحية معها.
الاستضافة المشتركة: تتيح الاستضافة المشتركة لعدة مواقع استخدام الخادم نفسه، ما يوفر تكاليف أقل لكنه قد يعني أماناً وأداءً أقل.