كشف باحثون في مجال الأمن السيبراني عن حملة خبيثة تستهدف مواقع ووردبريس (WordPress) من خلال مكوّن إضافي مزيف يُدعى wp-runtime-cache، يُروّج على أنه أداة لتحسين أداء الموقع عبر التخزين المؤقت، بينما يُستخدم فعليًا لسرقة بيانات دخول حسابات المديرين (Admin Credentials) ونقلها سرًّا إلى خادم خارجي مزور.
استغلال اسم “WooCommerce” لخداع الضحايا
اللافت في الهجوم أن الخادم الذي تُرسل إليه البيانات المسروقة ينتحل هوية WooCommerce، وهي منصة التجارة الإلكترونية مفتوحة المصدر الأكثر شهرة في بيئة ووردبريس، ما يعزز خداع الضحية ويُصعّب من اكتشاف الخطر مبكرًا.
ووفقًا لتقرير صادر عن شركة Sucuri المتخصصة في أمن المواقع، فإن المهاجمين يستخدمون هذا المكوّن الإضافي المزيف كحصان طروادة يُزرع داخل الموقع بهدف سرقة بيانات تسجيل الدخول الخاصة بالمسؤولين وإرسالها سريًا إلى الخادم المهاجم.
كيفية الاختراق: ثغرات أو ممارسات أمنية ضعيفة
لم يُحدَّد بعد كيف تمكّن المهاجمون من الوصول إلى المواقع المستهدفة وتنصيب المكون الخبيث. إلا أن الهجمات المماثلة غالبًا ما تبدأ من:
-
استغلال ثغرات معروفة في الإضافات أو القوالب (themes) غير المحدّثة.
-
استخدام بيانات دخول مسروقة مسبقًا.
-
أو تسلل أولي يليه تثبيت مكونات خبيثة بصلاحيات المدير.
غير أن ما يُرجح في هذا الهجوم تحديدًا، وفقًا للمحققين، هو أن بيانات الاعتماد يتم جمعها بعد الإصابة، ما يُضعف احتمالية أن تكون سرقت قبل الوصول الأولي.
آليات التمويه والتخفي
نبّه تقرير Sucuri إلى أن الهجوم يُظهر مدى سهولة قيام المهاجم، بمجرد حصوله على حق الوصول، بإخفاء نشاطاته الخبيثة ضمن بيئة ووردبريس، خصوصًا مع اعتماد البعض على إضافات كثيرة قد تُخفي ملفاً ضارًا بين الملفات الشرعية.
وأضاف التقرير: “هذا النوع من الهجمات يسلّط الضوء على أهمية مراجعة الإضافات المُثبتة باستمرار، والتدقيق في قائمة المستخدمين، إلى جانب تحديث كلمات المرور الإدارية بانتظام.”
