Netcrook Logo
👤 NEXUSGUARDIAN
🗓️ 16 Dec 2025  

برمجيات خبيثة متخفية: كيف أصبحت تحديثات Notepad++ ملعباً لمجرمي الإنترنت

تحول تحديث روتيني إلى كابوس أمني إلكتروني بعدما استغل المهاجمون سلسلة توريد Notepad++، مما عرض الآلاف لبرمجيات خبيثة متسللة.

بدأ الأمر بنقرة بسيطة: إشعار بتحديث Notepad++، محرر النصوص مفتوح المصدر المحبوب الذي يثق به الملايين. لكن بالنسبة لبعض المستخدمين، فتحت تلك النقرة الباب لهجوم إلكتروني متطور. بدلاً من تلقي تحسينات مشروعة، قاموا دون علمهم بتثبيت برمجيات خبيثة - تذكير مرعب بأن حتى أكثر الأدوات موثوقية يمكن أن تتحول إلى حصان طروادة عندما تتعرض سلاسل التوريد للاختراق.

تشريح الاختراق

بدأت التقارير تظهر في منتديات مجتمع Notepad++: لاحظ المستخدمون أن عملية التحديث التلقائي كانت تنفذ ملفات مشبوهة مثل %Temp%\AutoUpdater.exe. وبدلاً من تحديث البرنامج فقط، كان هذا الملف التنفيذي الخبيث يجمع بهدوء معلومات حساسة عن النظام باستخدام أوامر ويندوز - مثل قائمة الاتصالات الشبكية، والعمليات المثبتة، وحسابات المستخدمين. ثم تم إرسال البيانات إلى المهاجمين عبر خدمة مشاركة ملفات باستخدام curl.exe.

أكد الباحث الأمني كيفن بومونت أن ثلاث مؤسسات في شرق آسيا على الأقل تعرضت لاختراقات مماثلة، حيث استُخدم Notepad++ كنقطة وصول أولية. بدت الهجمات مستهدفة، إذ استغل المهاجمون الأنظمة المخترقة يدوياً بعد الإصابة الأولية.

سلسلة التوريد تحت الحصار

كان جذر المشكلة في آلية التحديث التلقائي لـ Notepad++. عند البحث عن تحديثات، كان البرنامج يتصل بخادم مركزي للحصول على التعليمات. إذا تمكن المهاجمون من اعتراض أو التلاعب بهذه العملية - سواء بتسميم خادم التحديث، أو اختطاف حركة الشبكة، أو توزيع مثبتات مزيفة - يمكنهم إيصال الشيفرة الخبيثة مباشرة إلى أجهزة المستخدمين.

استجابة لذلك، أصدر مبتكر Notepad++، دون هو، الإصدار 8.8.8 لتقييد التحديثات على مصادر موثوقة (GitHub)، لكن ذلك لم يكن كافياً. وجاء الاختراق الحقيقي مع الإصدار 8.8.9: حيث أصبحت التحديثات الآن موقعة تشفيرياً، ويرفض البرنامج تثبيت أي تحديث يفشل في التحقق من التوقيع. تهدف هذه الخطوة إلى إغلاق الباب أمام المهاجمين الذين يستغلون سلسلة توريد البرمجيات.

عدم اليقين المستمر

رغم الاستجابة السريعة، لا تزال الأسئلة قائمة. هل تم اختراق خادم التحديث نفسه، أم أن المستخدمين وقعوا ضحية لإعلانات خبيثة وتنزيلات غير رسمية؟ التحقيق مستمر، لكن هناك أمر واحد واضح: هجمات سلسلة توريد البرمجيات تتصاعد، وتستهدف حتى أكثر الأدوات استخداماً. يُنصح المستخدمون بتحديث Notepad++ إلى الإصدار 8.8.9 والتحقق من أصالة جميع التنزيلات - لأن الثقة في عالم التهديدات اليوم يجب أن تُكتسب مع كل تحديث.

تأمل

حادثة Notepad++ بمثابة جرس إنذار لمطوري البرمجيات والمستخدمين على حد سواء. مع تزايد تطور المهاجمين، أصبح الخط الفاصل بين التحديثات الموثوقة والحزم الخبيثة أكثر غموضاً. اليقظة، والحماية بالتوقيع الرقمي، ووعي المجتمع أصبحت الآن دفاعات أساسية في العصر الرقمي.

ويكي كروك

  • هجوم سلسلة التوريد: هجوم سلسلة التوريد هو هجوم إلكتروني يستهدف مزودي البرمجيات أو الأجهزة الموثوقين، وينشر البرمجيات الخبيثة أو الثغرات إلى العديد من المؤسسات دفعة واحدة.
  • توقيع رقمي: التوقيع الرقمي هو ختم إلكتروني يثبت أن المستند أو البرنامج أصلي ولم يتغير، لكنه قد يُساء استخدامه إذا تم الحصول عليه بطريقة احتيالية.
  • تنفيذ أوامر عن بُعد: تنفيذ الأوامر عن بُعد يسمح للمهاجمين بتشغيل أوامر على جهازك من مسافة بعيدة، وغالباً ما يؤدي إلى اختراق كامل للنظام وسرقة البيانات.
  • أوامر الاستطلاع: أوامر الاستطلاع يستخدمها المهاجمون لجمع بيانات حول الأنظمة المخترقة، مما يساعدهم في التخطيط لهجمات أو استغلالات إضافية.
  • المثبت: المثبت هو البرنامج الذي يقوم بتثبيت البرمجيات على الحاسوب. قد يقوم المهاجمون باختراق المثبتات في هجمات سلسلة التوريد لنشر البرمجيات الخبيثة أو الشيفرة غير المصرح بها.
Notepad++ supply chain attack malware
NEXUSGUARDIAN NEXUSGUARDIAN
Supply Chain Security Architect
← Back to news