كشف باحثون في الأمن السيبراني عن حملة خبيثة واسعة النطاق تستهدف مواقع إلكترونية شرعية من خلال حقن أكواد JavaScript ضارة، مما يُشكّل تهديدًا متناميًا على البنية التحتية الرقمية العالمية.
وأوضحت شركة Palo Alto Networks – وحدة Unit 42 أن هذه الأكواد الخبيثة تم إخفاؤها باستخدام تقنية “JSFuck”، وهي أسلوب برمجي غريب يُستخدم لأغراض تعليمية ويعتمد على مجموعة محدودة جدًا من الرموز لكتابة وتنفيذ التعليمات البرمجية.
وأطلقت الشركة على هذه التقنية اسمًا بديلًا أكثر تحفظًا هو JSFireTruck، نظرًا لتضمين المصطلح الأصلي لألفاظ نابية.
حقن خبيث مُموّه يصعب تحليله
قال الباحثون هارديك شاه وبراد دانكان وبراناي كومار تشاباروال إنهم رصدوا مواقع متعددة تم حقنها بـأكواد JavaScript خبيثة تُخفي غرضها الحقيقي من خلال تمويه معقّد باستخدام الرموز التالية فقط:.
وأضافوا:
“يمثل هذا التمويه عائقًا أمام عمليات التحليل، ويمنع اكتشاف النوايا الضارة الكامنة خلف الكود.”
التحقيقات كشفت أن الكود يتحقق من مُحيل الصفحة – أي الموقع الذي جاء منه الزائر.
وفي حال كان المصدر محرك بحث مثل Google أو Bing أو DuckDuckGo أو Yahoo أو AOL، يتم إعادة توجيه الضحية تلقائيًا إلى روابط خبيثة يمكن أن تُستخدم في نشر برمجيات ضارة، أو استغلالات أمنية، أو الإعلانات الاحتيالية، أو أنشطة تسييل الزيارات.
أرقام مقلقة وانتشار واسع
بين 26 مارس و25 أبريل 2025، سجلت Unit 42 ما مجموعه 269,552 صفحة ويب مصابة بهذه البرمجية، مع ذروة حادة في 12 أبريل حيث تم تسجيل أكثر من 50,000 صفحة مصابة في يوم واحد.
ووصف الباحثون الحملة بأنها:
“ذات نطاق واسع وتخفي شديد، ما يجعلها تهديدًا بالغًا للبنية التحتية الإلكترونية. هذا الحجم الكبير يشير إلى عملية منسقة لاستغلال المواقع الشرعية كوسيلة للهجوم.”
وفي سياق متصل، كشفت شركة Gen Digital عن بنية متقدمة تُعرف باسم HelloTDS، وهي خدمة توزيع حركة مرور (Traffic Distribution System) تمكّن المهاجمين من إعادة توجيه الزوار إلى صفحات زائفة تحاكي:
-
اختبارات CAPTCHA وهمية
-
دعم فني مزيف
-
تحديثات مزورة للمتصفح
-
إضافات متصفح غير مرغوبة
-
احتيال العملات المشفرة
وتُحقن الأكواد الخبيثة عن بُعد في المواقع المصابة باستخدام JavaScript لتحديد نوع الضحية بناءً على بصمة الجهاز، مثل الموقع الجغرافي، عنوان IP، والمتصفح المستخدم.
هندسة دقيقة لخداع الضحايا وتجاوز أدوات الحماية
أوضح الباحثان فويتخ كريسا وميلان سبينكا في تقرير تقني أن المواقع التي تُستخدم كنقاط انطلاق للحملة تشمل:
-
مواقع بث المحتوى والتحمّل
-
خدمات مشاركة الملفات
-
حملات الإعلانات الخبيثة (Malvertising)
ويتم تقييم الضحية لتحديد ما إذا كان “مناسبًا للهجوم”، وإذا لم يكن كذلك يُعاد توجيهه إلى صفحة بريئة.
إحدى أبرز الحيل تتمثل في صفحات CAPTCHA مزورة تستخدم تقنية ClickFix لخداع المستخدم وتشغيل برمجية PEAKLIGHT (المعروفة أيضًا باسم Emmenthal Loader) التي تقوم بسرقة البيانات باستخدام أدوات مثل Lumma Stealer.
بنية تحتية قائمة على نطاقات .top و .shop و .com
تستضيف HelloTDS أكوادها الخبيثة على نطاقات من المستوى الأعلى ما يجعل تتبعها صعبًا. كما أنها تعتمد على آليات متعددة المراحل لجمع بيانات عن الضحية قبل تنفيذ إعادة التوجيه.
وقال الباحثون:
“بنية HelloTDS تظهر كيف يقوم المهاجمون بتحديث أدواتهم لتجاوز الدفاعات التقليدية، والتمويه على الباحثين، واستهداف الضحايا بشكل انتقائي.”
وأضافوا أن تقنيات البصمة المعقدة، والبنية الديناميكية للنطاقات، وأساليب الخداع المموّهة تجعل هذه الحملات فعّالة وصعبة الاكتشاف في آنٍ واحد.
