كشفت شركة الأمن الهولندية Sansec عن ثغرة أمنية خطيرة في إضافة Funnel Builder الخاصة بـ WordPress، تُستخدم حالياً في هجمات نشطة تستهدف صفحات الدفع في متاجر WooCommerce. الثغرة تسمح بحقن شيفرات JavaScript خبيثة تهدف إلى سرقة بيانات بطاقات الدفع والمعلومات الشخصية للعملاء، وهو ما يضع أكثر من 40 ألف متجر إلكتروني في دائرة الخطر.
تفاصيل الثغرة وآلية الاستغلال
الثغرة تؤثر على جميع إصدارات Funnel Builder قبل النسخة 3.15.0.3، حيث يمكن للمهاجمين غير المصرح لهم إرسال طلبات للوصول إلى واجهة الدفع العامة دون أي تحقق من الصلاحيات. هذا الخلل يتيح لهم استدعاء طرق داخلية غير محددة وكتابة بياناتهم مباشرة في إعدادات الإضافة، مما يؤدي إلى حقن شيفرات خبيثة في جميع صفحات الدفع.
وبحسب Sansec، يقوم المهاجمون بزرع شيفرات تبدو وكأنها جزء من Google Tag Manager أو أدوات التحليل، لكنها في الواقع تُحمّل برمجيات Skimmer قادرة على سرقة أرقام البطاقات، رموز CVV، والعناوين الخاصة بالفوترة. في إحدى الحالات، رُصدت حمولة تتصل بخادم تحكم وسيطرة عبر بروتوكول WebSocket على نطاق خارجي (wss://protect-wss[.]com/ws) لجلب سكريبتات مخصصة لكل متجر مستهدف.
نمط هجمات Magecart وإخفاء الشيفرات
أشارت Sansec إلى أن المهاجمين يتبعون نمطاً متكرراً يُعرف باسم Magecart، حيث يتم إخفاء الشيفرات الخبيثة داخل وسوم تبدو مألوفة مثل وسوم التحليلات أو إدارة العلامات. هذا الأسلوب ينجح غالباً لأن مسؤولي المواقع يتجاهلون مراجعة هذه الوسوم باعتبارها طبيعية، مما يمنح المهاجمين فرصة لتمرير الشيفرات دون إثارة الشكوك.
توصيات الحماية لأصحاب المتاجر
أصدرت شركة FunnelKit تحديثاً أمنياً في النسخة 3.15.0.3 لمعالجة الثغرة، ونصحت أصحاب المتاجر الإلكترونية بتحديث الإضافة فوراً. كما أوصت بمراجعة إعدادات Checkout > External Scripts للتأكد من عدم وجود وسوم أو شيفرات غير مألوفة وحذفها على الفور. هذه الخطوات ضرورية لحماية بيانات العملاء ومنع تسرب معلومات حساسة قد تُستخدم في الاحتيال المالي.
سياق أوسع للهجمات على منصات إدارة المحتوى
يأتي هذا الكشف بعد أسابيع من تقرير شركة Sucuri حول حملة استهدفت مواقع Joomla عبر زرع شيفرات PHP مشفرة تتصل بخوادم خارجية للحصول على تعليمات، مما يسمح للمهاجمين بحقن روابط منتجات مزيفة أو إعادة توجيه الزوار أو عرض صفحات خبيثة بشكل ديناميكي. هذه الهجمات تؤكد أن منصات إدارة المحتوى مثل WordPress وJoomla أصبحت أهدافاً رئيسية لحملات متقدمة تسعى لاستغلال سمعة المواقع لنشر برمجيات خبيثة أو سرقة بيانات حساسة.
