حذّر برنامج Notepad++، وهو محرر نصوص شائع الاستخدام على نظام ويندوز، من اختراق بنيته التحتية للتحديثات لعدة أشهر، مما مكّن المهاجمين من توجيه بعض المستخدمين بشكل انتقائي إلى تحديثات خبيثة. وذكر موقع Ars Technica أن الاختراق بدأ في يونيو 2025، وأن السيطرة الكاملة لم تُستعد إلا في ديسمبر.
هذا نمط كلاسيكي لسلسلة التوريد: فبدلاً من استغلال كل ضحية بشكل مباشر، يستهدف المهاجمون مسار التحديث بحيث يصبح البرنامج نفسه وسيلة التوصيل.
كيف بدا الهجوم
بحسب موقع Ars، تمكن المهاجمون من السيطرة على مستوى البنية التحتية، ما سمح لهم باعتراض وإعادة توجيه حركة بيانات التحديثات المتجهة إلى نطاق Notepad++. وبدلاً من استهداف جميع المستخدمين، كانت عملية إعادة التوجيه انتقائية، موجهة إلى أهداف محددة.
تُعدّ هذه الانتقائية دليلاً هاماً، إذ تشير إلى أن المهاجمين إما استهدفوا مجموعة محددة من الضحايا أو كانوا يحاولون تجنب الكشف عنهم من خلال إبقاء حجم الإصابة منخفضاً.
لماذا يُعتبر المستخدمون الذين يقومون بالتحديث هدفًا ذا قيمة عالية؟
صُممت آليات التحديث التلقائي للقيام بثلاثة أشياء خطيرة:
- جلب التعليمات البرمجية من الإنترنت
- اكتبها على القرص
- نفّذها
هذا بالضبط ما تريده البرامج الضارة. الشيء الوحيد الذي يقف بين "التحديث" و"الإصابة" هو التحقق
إذا كان المُحدِّث:
- لا يستخدم بروتوكول TLS القوي باستمرار
- لا يتحقق من التوقيعات بشكل صحيح
- يثق في ملف بيان قابل للتلاعب
...ثم قد يكون اعتراض حركة المرور أو إعادة توجيهها كافياً لتبديل الحمولة.
تفاصيل برنامج تحديث Notepad++ (ونقاط ضعفه)
يصف موقع Ars برنامج تحديث مخصص (GUP / WinGUP) يقوم بما يلي:
- يقوم البرنامج بإرسال إصداره إلى عنوان URL الخاص ببرنامج Notepad++
- يسترجع تعليمات التحديث من ملف XML
- يقوم بتنزيل برنامج التثبيت إلى مجلد مؤقت وتشغيله
تكمن نقطة الضعف في العديد من الأنظمة في خطوة "البيان". فإذا أمكن استبدال البيان أو تعديله، يمكن توجيه برنامج التحديث إلى أي موقع تنزيل.
ما هي الإصدارات التي يجب أن يستخدمها المستخدمون؟
يشير تقرير Ars إلى أن المطورين حثوا المستخدمين على التأكد من أنهم يستخدمون الإصدار 8.9.1 أو أعلى.
كقاعدة عامة في مثل هذه الحوادث:
- يفضل التثبيت اليدوي من الموقع الرسمي
- تجنب مواقع التنزيل البديلة التابعة لجهات خارجية ونتائج البحث المليئة بالإعلانات
- تعامل مع مطالبات التحديث التي تظهر في أوقات غير متوقعة على أنها مشبوهة.
كيفية تقييم مدى تعرضك
قد لا توجد مؤشرات مثالية للتسوية في الحملات التسويقية المستهدفة، ولكن يمكنك تقليل حالة عدم اليقين:
- تأكد من الإصدار المثبت لديكوقارنها بالإصدارات الحالية.
- تحقق من توقيع برنامج التثبيتبالنسبة لملفات Notepad++ الثنائية التي لديك.
- راجع سجلات النظامبحثًا عن عمليات تشغيل غير عادية في أوقات التحديث (عمليات التثبيت التي لا تتعرف عليها، ومكالمات الشبكة إلى نطاقات غير عادية).
- الفحص باستخدام EDR/AVالذي يمكنه اكتشاف الثغرات الأمنية المعروفة التي أبلغ عنها المستجيبون للحوادث
بالنسبة للمنظمات، من المعقول أيضاً القيام بما يلي:
- منع مكونات التحديث من الوصول إلى الإنترنت
- استخدم نشر البرامج المُتحكم به (حزم MSI، والمستودعات الداخلية)
ما يدل عليه هذا بشأن تبعيات المصادر المفتوحة
برنامج Notepad++ مجاني، ويُستخدم بكثرة، ولكنه غالبًا ما يُعاني من نقص التمويل مقارنةً بأهميته. ويتجلى هذا التناقض في بنية تحتية هشة وأنظمة تحديث مخصصة لم تُصمم لمواجهة نماذج التهديدات على مستوى الدول.
الدرس الأوسع ليس "لا تستخدم البرامج مفتوحة المصدر"، بل هو أن مشاريع البرامج مفتوحة المصدر التي يعتمد عليها الكثيرون تحتاج إلى:
- أطر التحديث الحديثة
- مراجعات الأمان
- تمويل البنية التحتية والاستجابة للحوادث
خلاصة القول
إذا كنت تستخدم Notepad++، فافترض أن قناة التحديث كانت سطح هجوم محتمل في عام 2025. احصل على إصدار حديث، وفضل عمليات التثبيت الرسمية/اليدوية، وتعامل مع سلامة المُحدِّث (التوقيعات والبيانات) على أنها حدود الأمان الحقيقية
العربية
English
Čeština
Dansk
Nederlands
Eesti
Suomi
Français
Deutsch
Ελληνικά
Magyar
Italiano
日本語
한국어
Latviešu valoda
Lietuvių kalba
Norsk bokmål
Polski
Português
Română
Русский
Slovenčina
Slovenščina
Español
Svenska
Türkçe