نشرة الأمن المعلوماتي: اعتقالات بسباب "SMS Blasters"، فيروسات npm، و 3.4 مليون سيرفر Remote Access مفضوحين في الأنترنت

المختصر المفيد (TL;DR)

هاد السيمانة، كاين بزاف ما يتقال في عالم الـ Cyber: البوليس في كندا شدوا نصابة خدامين بـ "أونطينات" وهمية كيسيفطو بيها ميساجات، ولقاو حزمة (package) خبيثة في npm كتستهدف المطورين (developers). من جيهة أخرى، كاين تقارير كتحذر من ملايين السيرفرات ديال RDP و VNC اللي محلولين لأي واحد في الأنترنت، بالإضافة لـ Browser Extensions كيبيعو الداتا ديالك عيني عينك. هادشي كيخلينا نردو بالنا كتر، خصوصاً الناس اللي كيجيريو السيرفرات والدراري ديال JavaScript.

---

في العالم ديال الـ Cybersecurity، التهديدات كيتطورو بسرعة خيالية. بالنسبة للكومينوطي (community) ديالنا في المغرب — من الـ Devs في أكادير حتى لـ Sysadmins في كازا — الأخبار ديال هاد السيمانة كتبين بلي الثقة في الأدوات اللي كنخدمو بيها (npm) ولا في الـ Infrastructure ديالنا (VPN/RDP) ديما تحت المجهر وخاصنا نكونو حذرين.

الـ SMS Blasters: أبراج تليفون وهمية باش يصيدو الناس

السلطات الكندية شدات تلاتة ديال الناس حيت استعملو SMS Blaster. هادي أول مرة كيتلقا هاد النوع ديال التكنولوجيا في كندا، والمتهمين عندهم 44 تهمة.

شنو هو هاد الـ SMS Blaster؟ هو جهاز كيمثل راسو بحال شي برج اتصالات (BTS) حقيقي. ملي التليفون ديالي ولا ديالك كيدوز من حداه، كيغلط وكيصاوب Connection مع هاد البرج الوهمي. هنا الهاكر كيقدر يصيفط ميساجات SMS ديال النصب (Phishing) كيبانو في التليفون بحال يلا جايين من عند البنكة ولا إدارة معروفة، وكيدوزو فوق كاع الفلترات ديال شركة الاتصالات.

هجمة على الـ Supply Chain: الـ package اللي سميتو 'tanstack' كيشفر الـ env variables

وقع مشكل خطير في العالم ديال JavaScript. واحد خينا سميتو "sh20raj" حط package خبيث واستعمل تكنيك سميتها brand-squatting (كيختار سمية قريبة بزاف لشي لبرارية معروفة باش يدوخ المطورين).

هاد الـ package سميتو غير tanstack (بلا @، ماشي بحال الخدمة الرسمية @tanstack/...). ملي كتنصبه (install)، كيهز كاع ملفات .env و .env.local و .env.production وكيصيفطهم لسيرفر ديال الهاكر بسكات. النسخ من 2.0.4 حتى لـ 2.0.7 كلها مسمومة. هاد خينا اعترف بلي دار هادشي وزاد فيه بقالب ديال "كنت غير كنتيستي"، وحاول يبتز Tanner Linsley (مول TanStack الحقيقي) ويطلب منو 10,000 دولار.

ملاحظة للدراري الـ Juniors: ملفات الـ Environment كيكونوا فيها أسرار خطيرة (API Keys ديال Stripe، كودات الـ Database، و JWT secrets). ما عمرك دير npm install بلا ما تيقن من السمية الحرفية ديال الـ package.

3.4 مليون سيرفر RDP و VNC عريانين في الويب

واحد التقرير جديد من Forescout كيضرب ناقوس الخطر. لقاو بلي تقريباً 1.8 مليون سيرفر RDP و 1.6 مليون سيرفر VNC محلولين للعموم في الأنترنت.

الأرقام كتخلع:

• 60,000 سيرفر VNC ما فيهم حتى شي كلمة سر (Authentication).
• كتر من 19,000 سيرفر RDP باقي فيهم ثغرة BlueKeep (CVE-2019-0708)، اللي هي ثغرة قديمة من 2019 ولكنها خطيرة.
• تقريباً 18% من هاد السيرفرات خدامين بنسخ Windows قديمة اللي سالا ليها الدعم (End-of-Life).

واللي خطير بزاف، هو بلي لقاو 670 من هاد الـ VNC المحلولين كيدخلو نيشان للوحات تحكم ديال مصانع وأنظمة صناعية (OT/ICS).

Komari: أداة ديال الإدارة ولات Backdoor

أداة سميتها Komari، اللي في الأصل مديورة باش تعاون الـ Admins يخدموا، تم الاستعمال ديالها في هجمة حقيقية. الهاكرز لقاو كودات ديال VPN مسروقين ودخلو بيهم للريزو ديال واحد الشركة، ومن بعد استعملو smbexec.py (من Impacket) باش يزرعو Komari بصلاحيات SYSTEM.

هاد Komari صعيب حيت كيعطي للهاكر:

1. ينفذ أوامر بـ PowerShell.
2. يدير Reverse Shell وتولي عندو الـ Terminal ديال السيرفر في Browser ديالو.
3. يدير Network Scan (ping) باش يشوف شنو كاين آخر في الـ Network.

الداتا ديالك: الـ Extensions ديال الـ Browser كيبيعوك

واحد البحث ديال LayerX كشف بلي على الأقل 80 extension كتبيع البيانات ديال 6.5 مليون مستخدم بطريقة قانونية (زعما). هاد الـ extensions كيقولوها صراحة في شروط الاستخدام (Terms of Service) وحنا غير كنكليكيوا Accept. من بينهم 12 واحد ديال Ad blockers اللي منصبين عند 5.5 مليون واحد.

نصائح للمحترفين

• للمطورين: نقي الـ npm cache ديالك وتأكد بلي ما خدامش بـ tanstack (الحافي). خدم ديما بـ scope الرسمي @tanstack/.
• للـ Sysadmins: سدو RDP و VNC من جيهة الأنترنت. يلا كان ضروري الوصول عن بعد، خدمو بـ VPN صحيح فيه MFA (تأكد مزدوج).
• الميزاجور: دوزو الـ Patches ديال CVE-2019-0708 في كاع السيرفرات Windows اللي عندكم.
• النظافة الرقمية: قلبو الـ Privacy Policy ديال الـ extensions اللي منصبين في بيسييات الخدمة.

المصدر: The Hacker News - ThreatsDay Bulletin