كشف محرر النصوص مفتوح المصدر الشهير نوت باد بلس بلس عن هجوم متطور على سلسلة التوريد سمح لقراصنة يُشتبه بدعمهم من الدولة الصينية باختطاف آلية التحديث الخاصة به وتوزيع برمجيات خبيثة على مستخدمين مستهدفين بين يونيو وديسمبر 2025. وقد أثارت هذه المعلومات المفصلة في تحذير أمني نُشر هذا الأسبوع موجة صدمة في مجتمع المطورين حيث يعتمد الملايين على هذا المحرر الخفيف لمهام البرمجة اليومية.
وفقاً للإفصاح قام المهاجمون باختراق البنية التحتية لمزود الاستضافة بدلاً من الكود المصدري لنوت باد بلس بلس نفسه مما مكنهم من اعتراض وإعادة توجيه حركة التحديث المتجهة إلى موقع البرنامج. وأشار التحذير إلى أن حركة المرور من مستخدمين مستهدفين محددين تم إعادة توجيهها بشكل انتقائي إلى خوادم يسيطر عليها المهاجمون والتي قدمت ملفات تحديث خبيثة مما أدى إلى تنزيل ملفات تنفيذية مخترقة على أنظمة الضحايا بدلاً من التحديثات المشروعة.
كان الباحث الأمني كيفن بومونت أول من أبلغ عن نشاط غير عادي يؤثر على مستخدمي نوت باد بلس بلس مشيراً إلى أن الهجمات استهدفت بشكل خاص شركات الاتصالات والخدمات المالية في شرق آسيا. ولاحظ بومونت أن الضحايا كانوا منظمات لها مصالح في شرق آسيا وأن النشاط بدا مستهدفاً للغاية مع بدء نشاط استطلاع يدوي قبل حوالي شهرين. وقد قيّم العديد من الباحثين الأمنيين المستقلين أن الجهة المهددة على الأرجح مجموعة مدعومة من الدولة الصينية وهو ما يفسر الاستهداف الانتقائي العالي الملاحظ خلال الحملة.
يكشف الجدول الزمني للهجوم أن الجهات الخبيثة حصلت في البداية على وصول إلى خادم الاستضافة المشترك في يونيو 2025. وعلى الرغم من خضوع الخادم لصيانة مجدولة مع تحديثات النواة والبرامج الثابتة في 2 سبتمبر والتي قطعت الوصول المباشر إلى الخادم إلا أن المهاجمين احتفظوا ببيانات اعتماد مسروقة للخدمات الداخلية حتى 2 ديسمبر مما سمح لهم بمواصلة إعادة توجيه حركة التحديث إلى خوادم مخترقة. اكتملت جميع إجراءات المعالجة وتعزيز الأمان من قبل مزود الاستضافة بحلول 2 ديسمبر 2025.
رداً على الاختراق انتقل نوت باد بلس بلس إلى مزود استضافة جديد بممارسات أمنية أقوى بكثير وأصدر الإصدار 8.8.9 مع تحسينات أمنية حرجة. يتحقق مكون التحديث وينغ أب الآن من الشهادة والتوقيع للملفات المحملة وملفات التحديث إكس إم إل موقعة رقمياً. ابتداءً من الإصدار القادم 8.9.2 سيكون التحقق من الشهادة والتوقيع إلزامياً. يُحث المستخدمون بشدة على التحديث فوراً وإزالة أي شهادات جذرية سابقة.
التعليقات