Cyber Hunter

Cyber Hunter Welcome to Cyber Hunter! Your hub for advanced Cyber Security World. Join us to enhance your skills and protect your data. Start your journey with us today!

www.cyberhuntergp.com

اعلنت GitHub حدوث اختراق داخلي بعد إصابة جهاز موظف بـ VS Code Extension خبيثبعد ساعات من ظهور مزاعم من فريق TeamPCP ببيع...
21/05/2026

اعلنت GitHub حدوث اختراق داخلي بعد إصابة جهاز موظف بـ VS Code Extension خبيث

بعد ساعات من ظهور مزاعم من فريق TeamPCP ببيع آلاف الـPrivate Repositories الخاصة بـ GitHub على منتديات الـDrakweb،بدأت الصورة تتضح رسميًا.

حساب GitHub الرسمي أكد وجود Unauthorized Access لبعض الـInternal Repositories بعد اختراق جهاز موظف عن طريق VS Code Extension ملغومة تم تحميلها من الـVS Code Marketplace.

▪️ إيه اللي حصل؟

بحسب بيان GitHub:

موظف داخلي قام بتثبيت Extension من الـMarketplace الرسمي الـExtension كانت تحتوي على Backdoor / Malicious Code
المهاجم تمكن من الوصول لجهاز الموظف وبعدها حصل Exfiltration لعدد كبير من الـInternal Repositories

و GitHub قالت إن:

حوالي 3800 Repository داخلي اتأثروا
وتم:
عزل الجهاز المصاب
حذف الـExtension الخبيثة
بدء Incident Response وتحقيق داخلي

▪️ فين الخطورة الحقيقية؟

الموضوع هنا مش مجرد تسريب كود… لان GitHub تعتبر جزء أساسي من:

Infrastructure بتاعة آلاف الشركات
CI/CD Pipelines
DevOps Environments
Software Supply Chain

وأي اختراق داخلي بالحجم ده ممكن يؤدي لـ:

Secret/API Token Exposure
Access لتفاصيل داخلية
Infrastructure Mapping
Supply Chain Attacks
اكتشاف Internal Vulnerabilities

▪️ طيب TeamPCP قالوا إيه؟

الفريق عرض البيانات للبيع وقال إن عنده:

حوالي 4000 Private Repositories
Internal Organizational Data
Samples للتحقق
وسعر البداية فوق 50 ألف دولار

وكمان هددوا إن البيانات ممكن يتم تسريبها مجانًا لو مفيش مشتري.

▪️ النقطة الكوميدية السوداء في القصة:

الاختراق بدأ من Extension اتحملت من Marketplace الرسمي

وده فتح نقاش ضخم على تويتر حوالين:
“لو حتى الـOfficial Marketplace نفسه ممكن يتزرع فيه Malware… يبقى الثقة في الـSupply Chain بقت أزمة حقيقية”

إحنا قدام مثال واضح على:
ال Supply Chain Compromise عبر Developer Tooling

ومرة تانية:
أخطر نقطة اختراق حاليًا مش الـServers…لكن الأدوات اللي المطورين بيستخدموها يوميًا.








إدعاءات بتسريب بيانات طلاب من جامعات مصرية وبيعها على منصات الـDark Webظهرت خلال الساعات الأخيرة Listings على بعض منصات ...
17/05/2026

إدعاءات بتسريب بيانات طلاب من جامعات مصرية وبيعها على منصات الـDark Web

ظهرت خلال الساعات الأخيرة Listings على بعض منصات الـDark Web بتدّعي تسريب بيانات مرتبطة بـ:

جامعة القاهرة
جامعة الجلالة

وبحسب البيانات المتداولة، الـDataset المزعوم حجمه يقارب 10GB وبيحتوي على:

• Student PII
• صور طلاب
• بيانات أكاديمية
• بيانات أولياء أمور
• Email Addresses
• National ID References
• Admission Data
• Uploaded Documents
• Passwords

وكمان ظهرت Sample Fields تشمل:

student_code
student_email
student_national_id
guardian_phone
admission_status

▪️ ليه النوع ده من التسريبات خطير؟

لأن قواعد بيانات الجامعات مش بتحتوي بس على بيانات دراسية…لكن كمان:

وثائق هوية
بيانات أسرية
صور شخصية
بيانات تواصل
سجلات أكاديمية

وده يفتح الباب لهجمات زي:

Identity Theft
Phishing
Social Engineering
Credential Stuffing
Fake Scholarship Scams

▪️ النقطة المهمة:

حتى الآن:

مفيش تأكيد رسمي من الجامعات مفيش Verification مستقل لصحة البيانات العدد الحقيقي للمتضررين غير واضح

يعني اللي قدامنا حاليًا هو:
👉 Alleged Data Breach

مش Incident مؤكد بشكل رسمي حتى اللحظة.

▪️ ليه الجامعات بقت Target متكرر؟

الـEducational Sector بقى من أكتر القطاعات استهدافًا بسبب:

Decentralized IT Environments
Third-Party Systems
ضعف Identity Management
تخزين كميات ضخمة من الـPII والوثائق

▪️ ولو أنت Student أو Guardian؟

خليك حذر من:

Emails بتنتحل صفة الجامعة
Fake Payment Requests
Account Reset Attempts
أي Links أو ملفات مشبوهة

تحذير: وصول غير مصرح به إلى Source Code Repository لشركة Trellixأعلنت شركة Trellix عن تعرضها لحادثة Unauthorized Access ...
04/05/2026

تحذير: وصول غير مصرح به إلى Source Code Repository لشركة Trellix

أعلنت شركة Trellix عن تعرضها لحادثة Unauthorized Access استهدفت جزء من Source Code Repository الخاص بيها، في واحدة من الحالات الحساسة خصوصًا لما تكون شركة أمن سيبراني نفسها هي الهدف.

▪️ إيه اللي حصل؟

- الشركة اكتشفت مؤخرًا وجود compromise داخل الـ repository
- تم بدء تحقيق فوري بالتعاون مع Digital Forensics Experts
- تم إخطار الجهات المختصة (Law Enforcement)

▪️ موقف الشركة لحد دلوقتي:

- حسب البيان الرسمي:
مفيش دليل إن الـ Source Code تم استغلاله (Exploited)
- مفيش تأثير على:

- Code Release Process
- Code Distribution Pipeline
لكن لم يتم الإفصاح عن:
- نوع البيانات اللي تم الوصول لها
- مدة وجود المهاجم داخل الأنظمة (Dwell Time)
- الجهة المسؤولة عن الهجوم
-
▪️ ليه الموضوع ده مهم؟

الوصول إلى Source Code لشركة أمنية مش حاجة بسيطة، لأن ده ممكن يتيح للمهاجم:

- تحليل آليات Detection & Protection
- تطوير Evasion Techniques
- استغلال أي Weakness في المنتجات مستقبلًا

حتى لو مفيش exploitation حصل دلوقتي، فمجرد الوصول بيعتبر High-Risk Exposure

▪️ النقطة الأخطر:
الهجوم هنا مش لازم يكون هدفه فوري…ممكن يكون:
- Reconnaissance Phase
- تجهيز لهجمات مستقبلية
- أو Supply Chain Targeting

▪️ الخلاصة:
إحنا قدام سيناريو واضح:
Unauthorized Access → Sensitive Repository Exposure → Potential Future Risk

وده يوضح إن:
حتى شركات الأمن نفسها مش خارج دائرة الاستهداف،وإن أخطر مرحلة في أي اختراق هي
Initial Access + Dwell Time

تحذير: ثغرة CRLF Injection في cPanel تسمح بـ Full Privilege Escalationفي ثغرة خطيرة ظهرت في cPanel / WHM بتعتمد على حاجة...
03/05/2026

تحذير: ثغرة CRLF Injection في cPanel تسمح بـ Full Privilege Escalation

في ثغرة خطيرة ظهرت في cPanel / WHM بتعتمد على حاجة اسمها CRLF Injection (%0D%0A)
واللي بتخلي المهاجم يعمل Session Manipulation ويوصل لصلاحيات root من غير ما يحتاج Credentials أصلاً.

▪️ الفكرة ببساطة (Attack Overview):

المهاجم بيعمل Injecting Characters زي:

%0D%0A → New Line

جوه الـ login request،وده بيكسر شكل البيانات (Request Structure) وبيخلي السيرفر يكتب بيانات زيادة جوه الـ Session.

▪️ مثال:

user=admin%0D%0Aauthenticated=1%0D%0Auser=root

▪️ بيحصل إيه (Behind the Scenes):

السيرفر يستقبل الـ input عادي
يحصل CRLF Injection
يتم إضافة Session Variables مزيفة
السيستم يقرأها كأنها حقيقية

▪️ النتيجة:

authenticated = 1
user = root

→ Authentication Bypass + Privilege Escalation

▪️ سيناريوهات الاستغلال (Attack Scenarios):

- MFA / 2FA Bypass

tfa_passed=1

→ تخطي أي Multi-Factor Authentication

- Privilege Escalation
→ من user عادي لـ root access
→ تحكم كامل في السيرفر

- WP Squared Exploitation
→ السيطرة على مواقع WordPress بالجملة
→ نشر Malware / Ransomware

- API Exploitation
→ Bots تبعت malicious requests
→ Mass Defacement أو Botnet

- Backup Exfiltration
→ تغيير backup destination
→ سرقة كل البيانات بدون ما حد ياخد باله

▪️ ليه الثغرة دي خطيرة؟

No Credentials Required
بتضرب في Session Logic مباشرة
ممكن تعمل bypass لكل Layers (Auth + MFA)
Impact = Full Server Compromise

▪️ تحمي نفسك إزاي (Mitigation):

لو شغال على cPanel / WHM لازم تتعامل مع الموضوع كـ Critical:

اعمل Update فورًا للنسخة اللي فيها Patch ومتأخرش في الـ patching لأن الثغرة دي بتدي Full Access

فلتر الـ Input كويس (Input Validation & Sanitization)
امنع أي CRLF Characters زي:

\r \n أو %0D%0A
Secure Session Handling
متخليش الـ session تعتمد على raw input واستخدم strict parsing للـ session files

WAF Rules
فعّل rules تمنع أي request فيها:

%0D%0A

خصوصًا في login endpoints

Log Monitoring
راقب أي requests فيها:
weird headers
injected parameters
malformed requests
Restrict Access

تسريب بيانات Udemy بعد تهديد سابق من ShinyHuntersفي تصعيد سريع، جهة بتستخدم اسم ShinyHunters كانت أعلنت من أيام عن اخترا...
28/04/2026

تسريب بيانات Udemy بعد تهديد سابق من ShinyHunters

في تصعيد سريع، جهة بتستخدم اسم ShinyHunters كانت أعلنت من أيام عن اختراق منصة Udemy وهددت بنشر البيانات بنمط Pay or Leak والنهارده التهديد اتحول لتنفيذ فعلي.

▪️ إيه اللي اتسرب؟

- أكتر من 1.4 مليون سجل بيانات
- بيانات شخصية (PII)
- معلومات داخلية مرتبطة بالمستخدمين والاشتراكات

▪️ نوع البيانات المسربة:

Email Addresses
Full Names
Phone Numbers
Addresses
Employer Info
Job Titles
PayPal Accounts
Bank Transfer Info

حادثة أمنية في Vercel بعد تقارير عن تسريب Access Keysفي الساعات الأخيرة، ظهرت تقارير عن حادثة أمنية تخص منصة Vercel، مع ...
20/04/2026

حادثة أمنية في Vercel بعد تقارير عن تسريب Access Keys

في الساعات الأخيرة، ظهرت تقارير عن حادثة أمنية تخص منصة Vercel، مع ادعاءات بتسريب بيانات حساسة، قبل ما الشركة نفسها تصدر بيان رسمي توضح فيه الموقف.

▪️ إعلان الجروب (ShinyHunters):

جهة بتستخدم اسم ShinyHunters ادعت إنها حصلت على:

Access Keys
Source Code
Databases مرتبطة بـ Vercel

وتم عرض البيانات دي للبيع على منتديات اختراق.

لكن في نفس الوقت، محللين في Threat Intelligence رجّحوا إن الجهة دي ممكن تكون Imposter بتحاول تستغل اسم معروف لزيادة الانتشار.

▪️ التصريح الرسمي من Vercel:

Vercel أكدت بشكل رسمي إنها رصدت:

Unauthorized access لجزء من الأنظمة الداخلية
السبب كان مرتبط بـ Third-party AI tool فيه OAuth compromise
عدد العملاء المتأثرين محدود الخدمات شغالة بشكل طبيعي

وكمان أوضحت:

مفيش دليل على وصول لـ Sensitive Environment Variables لكن أي Secrets غير مصنفة كـ sensitive لازم تتعامل إنها ممكن تكون اتكشفت

▪️ النقطة المهمة:

حتى لو ادعاءات الجروب مش مؤكدة بالكامل، وجود incident رسمي + احتمال تسريب Access Keys = Risk حقيقي

خصوصًا إن Vercel بتدير:

Deployments
API Keys
Environment Secrets

وده بيخلي أي breach فيها ممكن يتحول بسهولة لـ:
Supply Chain Impact على نطاق واسع






تهديد خفي بيستهدف تطبيقات البنوك على أندرويد في مصرخلال الفترة اللي فاتت، تم رصد حملة Malware بتستهدف مستخدمي تطبيقات ال...
16/04/2026

تهديد خفي بيستهدف تطبيقات البنوك على أندرويد في مصر

خلال الفترة اللي فاتت، تم رصد حملة Malware بتستهدف مستخدمي تطبيقات البنوك عن طريق تقنية اسمها Android Overlay Attack

الفكرة ببساطة
المهاجم بيخلي المستخدم يثبت تطبيق عادي جدًا (غالبًا IPTV لمشاهدة القنوات) لكن في الحقيقة… هو أداة اختراق كاملة

▪️ السيناريو حصل إزاي؟

المستخدم يحمل تطبيق IPTV من موقع أو تيليجرام التطبيق يطلب صلاحيتين:
• Overlay (عرض فوق التطبيقات)
• Accessibility (إمكانية التحكم في الجهاز)
المستخدم يوافق… وهنا المشكلة تبدأ

▪️ بعد ما الصلاحيات تتفعل
التطبيق بيبقى عنده سيطرة شبه كاملة على الموبايل:

يراقب كل اللي بيحصل على الشاشة و يحط شاشة وهمية فوق تطبيق البنك يسجل ضغطاتك (PIN / Password) ويقدر ينفذ عمليات تحويل فلوس لوحده

▪️ أخطر نقطة هنا
المستخدم بيكون شايف تطبيق البنك الحقيقي لكن فيه Overlay شفاف فوقه بيسرق كل حاجة بدون ما يحس

وده معناه:
الهجوم بيحصل وانت فاتح التطبيق بشكل طبيعي جدًا

▪️ ازاي بيسرق الفلوس؟

يظهر Notification مزيف من البنك يخليك تفتح التطبيق يسجل الـ PIN بتاعك وبعدها ينفذ تحويل فلوس تلقائي

والعملية كلها ممكن تتم في أقل من دقيقتين

▪️ ليه الهجوم ده خطير؟

لأنه:

مش محتاج Root مش محتاج خبرة بيعتمد على Social Engineering وبيستخدم صلاحيات “قانونية” في أندرويد

▪️ تحمي نفسك ازاي؟

متحملش Apps من بره Google Play متديش صلاحية Accessibility لأي تطبيق مش موثوق راجع apps اللي عندها Overlay Permission

أي App IPTV مجاني = Red Flag

▪️ الخلاصة

إحنا داخلين على نوع جديد من الهجمات مش بيعتمد على اختراق السيرفرات…لكن على اختراقك أنت كمستخدم

تصعيد خطير في حرب البنية التحتية الرقميةإيران وجهت تهديد مباشر لضرب واحد من أهم مشاريع الذكاء الاصطناعي في المنطقةمركز ب...
07/04/2026

تصعيد خطير في حرب البنية التحتية الرقمية

إيران وجهت تهديد مباشر لضرب واحد من أهم مشاريع الذكاء الاصطناعي في المنطقة

مركز بيانات Stargate في أبوظبي — المشروع المدعوم باستثمارات تتخطى 30 مليار دولار وبمشاركة شركات زي OpenAI و NVIDIA — بقى هدف معلن

▪️ اللي حصل:

الحرس الثوري الإيراني نشر فيديو فيه:
• صور أقمار صناعية للموقع
• لقطات لمسؤولين مرتبطين بالمشروع
• تهديد صريح بـ “محو المركز بالكامل”

▪️ ليه الموضوع ده مختلف؟
إحنا مش بنتكلم عن هجوم سيبراني تقليدي…
إحنا بنتكلم عن استهداف مادي مباشر لمراكز البيانات

▪️ الخلفية:
• في مارس حصلت هجمات بطائرات مسيرة
• استهدفت Data Centers مرتبطة بـ AWS في الإمارات والبحرين

▪️ الأخطر بقا
تم تصنيف حوالي 18 شركة تكنولوجيا أمريكية كأهداف محتملة

وده معناه إن:
Cloud – AI – Data Infrastructure
بقوا رسميًا داخل نطاق الصراع الحالي

▪️ الصورة الكبيرة:
مراكز البيانات اللي كانت “محايدة” بقت Targets
والخليج — اللي كان Hub عالمي واقليمي للـ Data — بقى تحت ضغط حقيقي

▪️ الخلاصة:
إحنا داخلين على مرحلة جديدة
مش بس Cyber War…

ده Hybrid War

بيجمع بين:
• هجمات سيبرانية
• واستهداف فيزيائي للبنية التحتية الرقمية

وسؤالي ليك :
هل فعلاً مراكز البيانات تقدر تفضل محايدة في الصراعات العالمية؟

ادعاء اختراق جديد لاحدي شركات قطاع الرعاية الصحية في مصرمجموعة هاكرز باسم DragonForce بتقول إنها اخترقت شركة AUG Pharma▪...
07/04/2026

ادعاء اختراق جديد لاحدي شركات قطاع الرعاية الصحية في مصر

مجموعة هاكرز باسم DragonForce بتقول إنها اخترقت شركة AUG Pharma

▪️ التفاصيل المتداولة:
• حجم البيانات المسربة: حوالي 890 جيجابايت
• القطاع: Healthcare
• نوع البيانات: غير محدد حتى الآن
• الحالة: قيد التحقق (Pending Verification)

▪️ اللي نعرفه:
الشركة واحدة من الشركات العاملة في المجال الدوائي في مصر
وأي اختراق في القطاع ده ممكن يمس:
• بيانات مرضى
• معلومات طبية
• أو حتى بيانات تشغيلية حساسة

▪️ المهم جدًا :
لحد دلوقتي مفيش أي تأكيد رسمي
وكل اللي موجود هو claim من الجروب

وده طبيعي في المرحلة دي من أي breach
إن المعلومات تبقى ناقصة أو غير مؤكدة

▪️ لكن الرقم هنا مقلق

لان 890GB مش رقم صغير
وده يفتح احتمال إن الاختراق — لو حقيقي — يكون عميق جدًا

ولكن الخبر لسه تحت التحقق وبنسبة كبيره ممكن يكون كلام دعائي مش اكتر

لكن بيدينا مؤشر واضح إن قطاع الـ Healthcare بقى هدف مباشر

وسؤالي ليك :

شايف القطاع الطبي عندنا مستعد لهجمات بالحجم ده؟

المصدر : Hackmanac

ثغرة Critical في Fortinet بتتستغل فعليًا… ومش محتاجة حتى Loginإحنا قدام vulnerability خطيرة جدًا باسم:CVE-2026-21643بتضر...
05/04/2026

ثغرة Critical في Fortinet بتتستغل فعليًا… ومش محتاجة حتى Login

إحنا قدام vulnerability خطيرة جدًا باسم:
CVE-2026-21643

بتضرب مباشرة في FortiClient EMS — السيرفر المسؤول عن إدارة كل الأجهزة في الشبكة

▪️ الخطورة فين؟

الثغرة دي SQL Injection لكن مش التقليدية.

دي بتستغل بـ:

• بRequest واحدة بس
• بدون أي Credentials
• بدون أي User Interaction

يعني ببساطة:

ب Request واحدة توصل للسيرفر… وتفتحلك كل حاجة

▪️ المهاجم يقدر يوصل لـ:
• Admin Credentials
• كل الأجهزة على الشبكة (Inventory)
• Security Policies
• Certificates
• وكمان يتحرك داخل الشبكة (Lateral Movement)

يعني Full Compromise للبيئة بالكامل

▪️ المشكلة حصلت ازاي؟

ال Version 7.4.4 كان فيه تعديل في الـ multi-tenant system

ال Header بسيط في الـ HTTP Request
بتستخدم لتحديد الـ tenant

اتمرر للداتا بيز من غير validation وقبل الـ authentication كمان

▪️ الوضع دلوقتي:
• تم إصدار Patch (7.4.5)
• لكن الثغرة بدأت تستغل فعليًا في الهجمات
• ولسه مش مضافة رسميًا في CISA KEV

▪️ الأرقام المقلقة:
• حوالي 1000+ instance مكشوفة على الإنترنت
• ال Shadowserver بيقول أكتر من 2000 instance

▪️ ليه ده خطر جدًا؟
لان FortiClient EMS مش سيستم عادي…ده الـ brain اللي ماسك كل endpoints في الشركة

يعني لو اتضرب يبقا الشبكة كلها اتفتحت

▪️ تعمل ايه فورًا؟
• لو عندك Version 7.4.4 → Update حالًا
• اقفل الوصول المباشر من الإنترنت
• راجع الـ logs على أي requests غريبة
• غير الـ credentials بعد التحديث

شايف إن أكبر risk دلوقتي بقى جاي من جوه الـ security stack نفسها؟

Address

Cairo

Website

Alerts

Be the first to know and let us send you an email when Cyber Hunter posts news and promotions. Your email address will not be used for any other purpose, and you can unsubscribe at any time.

Shortcuts

Share

Category