ثغرة SimpleHelp تستغل لزرع برمجيات خبيثة تستهدف أنظمة متعددة
تم استغلال ثغرة أمنية خطيرة في برنامج SimpleHelp، وهو نظام وصول عن بعد تستخدمه فرق تكنولوجيا المعلومات ومقدمو الخدمات المدارة، لزرع برمجية خبيثة جديدة تُعرف باسم Djinn Stealer تستهدف أنظمة ويندوز وماك ولينكس.
تتيح هذه الثغرة، التي تحمل الرقم CVE-2026-48558، للمهاجمين تجاوز آليات تسجيل الدخول وإنشاء جلسات فنية ذات صلاحيات عالية دون الحاجة إلى بيانات اعتماد صالحة، وذلك عند استخدام المصادقة عبر OpenID Connect (OIDC). وبمجرد الدخول، يتمكن المهاجمون من الوصول إلى القناة الإدارية الموثوقة التي تستخدمها فرق تكنولوجيا المعلومات للتحكم في بيئات العملاء، مما يسمح لهم بنقل الملفات وتنفيذ الأوامر والتحرك جانبيًا عبر الأنظمة المُدارة.
كشفت الأبحاث عن أن هذا الوصول الموثوق به استُخدم لنشر عائلتين جديدتين من البرمجيات الخبيثة: مُحمّل يعتمد على Node.js يُدعى TaskWeaver، وبرنامج سرقة معلومات متعدد المنصات يُدعى Djinn Stealer. يقوم TaskWeaver، الذي تم تقديمه كملف مُقنع باسم "jquery.js"، بجمع معلومات عن الأنظمة المصابة والتواصل مع خوادم القيادة والتحكم لسحب حمولات إضافية من جافاسكريبت، مع إعادة بناء إمكانيات Node.js الأصلية في وقت التشغيل لتجنب الكشف.
تُعد Djinn Stealer، وهي الحمولة في المرحلة الثانية، هي الجزء الأكثر خطورة في الحملة. تعمل هذه البرمجية على أنظمة ويندوز وماك ولينكس، وهي مصممة لجمع مجموعة واسعة من البيانات الحساسة، بما في ذلك بيانات اعتماد الخدمات السحابية، ومفاتيح SSH، وإعدادات Git، وأدوات البنية التحتية، وبيانات المتصفح، وملفات محافظ العملات المشفرة. والأخطر من ذلك، أنها تستهدف بيانات الاعتماد المتعلقة بمنظومات المطورين وخطوط أنابيب البرمجيات الحديثة، بما في ذلك مديري الحزم وأدوات CI/CD ومنصات البنية التحتية كرمز (Infrastructure-as-Code)، بالإضافة إلى أدوات تطوير الذكاء الاصطناعي وإعدادات بروتوكول سياق النموذج (MCP).
تكمن خطورة هذه السلسلة من الهجمات في أنها تبدأ بثغرة واحدة في منصة إدارة ومراقبة عن بعد (RMM)، لكن تأثيرها يتجاوز ذلك بكثير. فالبرامج مثل SimpleHelp تتمتع بثقة واسعة في بيئات الشركات، وعند اختراقها، يمكن أن تعمل كبوابة ذات امتيازات عالية للبنية التحتية للعملاء. كما أن استهداف أجهزة المطورين يمكن أن يكشف عن مستودعات الشيفرة المصدرية، والبيئات السحابية، وخطوط أنابيب البناء، وحتى أنظمة التطوير المدعومة بالذكاء الاصطناعي، كل ذلك من نقطة نهاية واحدة مخترقة. وقد قامت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) بإضافة CVE-2026-48558 إلى قائمة الثغرات المعروفة والمستغلة، مؤكدةً بذلك الاستغلال النشط لها في العالم الحقيقي.
يُظهر هذا الحادث تطورًا واضحًا في استهداف البرمجيات الخبيثة، حيث لا تقتصر Djinn Stealer على سرقة كلمات المرور أو الملفات المحلية، بل تستهدف بشكل خاص المطورين وأنظمة البنية التحتية. إن استهداف أدوات الذكاء الاصطناعي وبيانات الاعتماد المرتبطة بها يُعد أمرًا لافتًا بشكل خاص، حيث يمكن لهذه الرموز أن تمنح وصولًا إلى المستودعات وقواعد البيانات والخدمات السحابية المتصلة بالمساعدين الأذكياء. ويُبرز هذا الهجوم المفاضلة بين سهولة الاستخدام والمركزية، ففي حين تجعل أدوات RMM إدارة تكنولوجيا المعلومات فعالة، فإنها تركز الثقة والوصول في نظام واحد، مما يجعل تأثير الاختراق هائلاً. ويوصي الخبراء بالأمان بالتعامل مع بيئات المطورين كأهداف عالية القيمة، مساوية للبنية التحتية الإنتاجية، مع ضرورة الترقية الفورية لأنظمة SimpleHelp، وإلغاء صلاحية الجلسات غير المعروفة، وتدوير بيانات الاعتماد بشكل عاجل.