تمت ملاحظة جهة تهديد غير معروفة وهي تستغل ثغرة أمنية شديدة الخطورة تم الكشف عنها مؤخرًا في SimpleHelp لتقديم عائلتين من البرامج الضارة التي لم يتم الإبلاغ عنها سابقًا، TaskWeaver و سارق الجن.
التطفل ينطوي على استغلال CVE-2026-48558 (درجة CVSS: 10.0)، ثغرة أمنية حرجة لتجاوز المصادقة تؤثر على تدفق OpenID Connect (OIDC) والتي يمكن أن يستغلها مهاجم غير مصادق للحصول على “جلسة فني” مصادق عليها بالكامل عن طريق إرسال رمز مميز مزور يحتوي على مطالبات هوية عشوائية.
وقالت Blackpoint Cyber في تحليل لها: “إن TaskWeaver عبارة عن أداة تحميل Node.js غامضة للغاية، ويتم تسليمها كـ jquery.js ويتم تنفيذها من خلال Node.exe، والتي تنفذ قناة توصيل حمولة مشفرة وقابلة لإعادة الاستخدام بدلاً من مجموعة ثابتة من أوامر ما بعد الاستغلال”. “تستهدف حمولة المرحلة الثانية المرصودة، Djinn Stealer، أنظمة Windows وmacOS وLinux.”
تم تصميم Djinn Stealer لجمع بيانات الاعتماد المرتبطة بالمنصات السحابية، والتحكم في المصدر، وسجلات الحزم، وأدوات البنية التحتية، ومساعدي تطوير الذكاء الاصطناعي، والمتصفحات، وSSH، ومحافظ العملات المشفرة.
ظهرت تفاصيل CVE-2026-48558 في وقت سابق من هذا الشهر عندما قالت Horizon3.ai، التي اكتشفت الخلل، إنها تؤثر على الخوادم التي تم تكوينها لاستخدام إما OIDC العام أو Azure AD OIDC، وأنها تنبع من الطريقة التي تتحقق بها SimpleHelp من صحة تأكيدات IdP.
وقال زاك هانلي، الباحث الأمني في Horizon3.ai: “في العديد من عمليات نشر SimpleHelp التي تم تمكين المصادقة من نوع OIDC فيها، يمكن للمهاجم غير المصادق إنشاء مستخدم “فني” جديد والمصادقة عليه. “يمكن لهذا الفني، افتراضيًا، تنفيذ أنشطة الإدارة المميزة مثل الاتصال عن بعد بنقاط النهاية المُدارة، وتنفيذ البرامج النصية، والمزيد.”
“حتى عندما يتم تكوين خادم SimpleHelp لفرض MFA على الفنيين، فإن هذه المشكلة تسمح للمهاجم بتجاوز هذه الآلية لأنه عند تسجيل الدخول لأول مرة، يمكن للفنيين التسجيل الذاتي لأسلوب MFA الخاص بهم.”
في سلسلة الهجوم التي وثقتها شركة Blackpoint Cyber، يقال إن الاستغلال الناجح للخلل في برنامج المراقبة والإدارة عن بعد (RMM) قد مكّن جهة التهديد من الحصول على جلسة “فني” موثقة على خادم يمكن الوصول إليه بشكل عام، والذي تم إساءة استخدامه بعد ذلك لنشر TaskWeaver وDjinn Stealer.
وقال الباحثان نيفان بيل وسام ديكر: “لقد زودت منصة RMM المخترقة المشغل بقناة إدارية موثوقة قادرة على نقل الملفات وتنفيذ الأوامر على الأنظمة المدارة من خلال الخادم”.
TaskWeaver عبارة عن أداة تحميل Node.js معيارية قادرة على أخذ بصمات النظام وإنشاء اتصالات مشفرة مع خادم بعيد (“a.dev-tunnels”[.]com”)، واسترداد وتنفيذ حمولات JavaScript إضافية مع وصول مرتفع إلى وقت تشغيل Node.js. المرحلة النهائية هي أداة سرقة المعلومات المصممة لاستخراج البيانات القيمة من مضيفي Windows أو macOS أو Linux المخترقين.
نطاق المعلومات التي يستهدفها السارق هو كما يلي –
- بيانات الاعتماد والتاريخ والإشارات المرجعية المخزنة في متصفحات الويب
- بيانات التكوين والمصادقة المرتبطة بـ AWS، وAzure، وGoogle Cloud، وOracle Cloud Infrastructure، وOkta، وCloudflare، وDigitalOcean، وLinode، وHeroku، وVercel، وريلواي، وSupabase، وPulumi، وTerraform، وHashiCorp Vault، وConsul.
- بيانات GitHub CLI
- تكوين البوابة
- مفاتيح SSH
- مصادقة عامل الميناء
- معلومات التسجيل هيلم
- تكوينات عميل S3 وMinIO
- أوراق اعتماد التخريب
- بيانات اعتماد أدوات البناء npm وpnpm وYarn وNuGet وCargo وComposer وMaven وGradle وpip وPyPI وConda وBun وIvy وScala
- بيانات التكوين والمصادقة والجلسة والمشروع المرتبطة بـ Anthropic Claude وGoogle Gemini وOpenAI Codex وCline وOpenCode وKilo
- محافظ العملات المشفرة ومخازن المفاتيح المرتبطة بـ Bitcoin وLitecoin وDogecoin وDash وEthereum وMonero وZcash وExodus وAtomic Wallet وElectrum
وفي أنظمة Linux، تحاول البرامج الضارة أيضًا قراءة الملفات الافتراضية “/proc/
بمجرد جمع المعلومات، يتم تجميعها في أرشيف TAR، مضغوطًا باستخدام GZIP، ومشفرًا باستخدام مفتاح AES-256-GCM محمي بواسطة مفتاح عام RSA-2048 مضمن في TaskWeaver، ويتم ترحيله إلى البنية التحتية التي يتحكم فيها المهاجم (“96.126.130″).[.]126:58942”).
توضح الحملة كيف تلاحق الجهات الفاعلة في مجال التهديد بشكل متزايد المنصات التي تعمل بالذكاء الاصطناعي (AI) حيث يتم دمج التكنولوجيا عبر سير عمل المؤسسة، مما يمكنها من إساءة استخدام امتيازات مساعدي الذكاء الاصطناعي للوصول إلى البيانات الحساسة.
وقال الباحثون: “أصبح تجاوز المصادقة الفردي طريقًا إلى كل ما يمكن أن تصل إليه الأنظمة المُدارة، بدءًا من المنصات السحابية ومستودعات الأكواد وحتى أدوات الذكاء الاصطناعي ومحافظ العملات المشفرة والبنية التحتية للعملاء”.
“قد توفر بيانات الاعتماد التي يمكن الوصول إليها من محطة عمل المطور أو المسؤول الدخول إلى البنية التحتية للإنتاج، وبناء خطوط الأنابيب، ومستودعات التعليمات البرمجية المصدر، ومنصات النشر، والمستأجرين السحابيين، وبيئات العملاء بعد فترة طويلة من احتواء نقطة النهاية الأصلية.”
دفع الاستغلال النشط لـ CVE-2026-48558 وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) إلى إضافتها إلى كتالوج الثغرات الأمنية المستغلة المعروفة (KEV)، مما يتطلب من وكالات السلطة التنفيذية المدنية الفيدرالية (FCEB) تطبيق الإصلاحات بحلول 2 يوليو 2026.
