كيف حوّل المهاجمون مواقع WordPress إلى منصات توزيع برمجيات خبيثة عبر البلوكشين؟

في أبريل 2026، استجاب فريق Sicuranext لتنبيه صادر عن نظام الكشف على نقطة نهاية في شبكة مؤسسية، تتبع المحققون فيه سلسلة هجوم متكاملة تبدأ بموقع ويب شرعي لشركة أوروبية صغيرة وتنتهي بمحاولة تحميل برنامج خبيث للتحكم عن بُعد. ما كشفته هذه الحادثة يتجاوز تقنياً كثيراً مما اعتاد عليه المدافعون، إذ أحكم المهاجمون بناء منظومة هجومية مركبة من أربعة مكونات لا يرصد أي منها بمعزل عن الآخرين.

تجمع سلسلة الهجوم أربعة مكونات متمايزة في تسلسل اختراق واحد: موقع WordPress مخترق، وتقنية EtherHiding عبر شبكة BSC Testnet، وهندسة اجتماعية بأسلوب ClickFix، وتسليم برنامج GULoader عبر مسار UNC، وفي كل خطوة منها ثمة سبب هيكلي يجعل كل طبقة دفاعية تقليدية تصمت. هذه الجملة وحدها تُلخّص لماذا يمثّل هذا الهجوم منعطفاً في أساليب الاختراق الحديثة.

موقع ويب شرعي بوجهين: كيف يُحوَّل WordPress إلى ناقل خفي للعدوى

الموقع المُستخدَم في الهجوم كان موقعاً تجارياً حقيقياً لشركة أوروبية صغيرة تعمل بنظام WooCommerce، وقد حافظ المهاجمون على كامل وظائفه الطبيعية بما فيها صفحات المنتجات وخرائط Google ونماذج التواصل وأدوات التحليل، بينما حقنوا شيفرة JavaScript خبيثة بصمت تام.

هذا النهج يكشف مستوى رفيعاً من التفكير الاستراتيجي: صاحب الموقع الذي يتصفحه من هاتفه لا يرى شيئاً مريباً، وزاحف Google يفهرس محتوى نظيفاً، وأنظمة المراقبة الآلية تُسجّل حالة سليمة. نظام توجيه حركة المرور الخبيث المُثبَّت في الموقع كان يخدم الحمولة الضارة حصراً لزوار حواسيب سطح المكتب العاملة بنظام Windows، في حين تظهر صفحات نظيفة لمستخدمي الهواتف وروبوتات الزحف، وهو ما يُفسّر سبب عجز أصحاب المواقع وأنظمة المراقبة عن رصد الاختراق.

وقد أوضح الباحثون أن الاختراق تحقق عبر ما يُعرف بـ ErrTraffic v3، وهو إطار عمل PHP يُزرع في دليل mu-plugins الخاص بـ WordPress، مما يمنح المهاجمين استمرارية عميقة وصعبة الكشف. تستهدف هذه الأداة مواقع WordPress بزرع باكدور PHP في مكوّن mu-plugin الذي يُنفّذ دائماً في WordPress دون الحاجة إلى تفعيل، مما يوفر للمهاجمين ثباتاً دائماً ويصعّب الاكتشاف.

EtherHiding: حين يصبح البلوكشين درعاً لا يمكن تفكيكه

الجزء الأشد تعقيداً في هذه السلسلة هو توظيف تقنية EtherHiding، التي تحوّل سلاسل الكتل العامة من تقنية مالية إلى بنية تحتية للهجوم يستحيل تفكيكها. لا يمكن إيقاف البيانات المكتوبة على سلسلة الكتل أو حذفها أو الاستيلاء عليها؛ هذه ليست قيداً بل خاصية جوهرية للبنية التحتية اللامركزية غير القابلة للتغيير، وهو ما يفرض على المدافعين إعادة النظر في افتراضاتهم حول ما تبدو عليه بنية التحكم والسيطرة المقاومة للإزالة.

بعد ثانيتين من تحميل الصفحة، بدأت شيفرة JavaScript المُحقَنة إرسال استفسارات إلى عقود ذكية على شبكة BNB Smart Chain Testnet، وتضمّنت شيفرة JavaScript المُفكَّكة منطق اكتشاف بيئات الاختبار Sandbox، وإلغاء تكرار الضحايا، وأخيراً تصيير نافذة ClickFix التراكبية.

استخدم المهاجمون EtherHiding لتخزين الحمولات الخبيثة وتعليمات التوجيه داخل عقود ذكية على شبكة BNB Smart Chain Testnet، مما يُنشئ بنية تحتية ثابتة ومجانية التشغيل لا يمكن إيقافها بسبب طبيعة شبكات البلوكشين. والأهم من ذلك أن استخدام شبكة الاختبار بدلاً من الشبكة الرئيسية ألغى حتى التكلفة الرمزية للعقود، مما يعني بنية تحتية هجومية بلا أي تكلفة تقريباً.

ClickFix وGuLoader: الخطوة الأخيرة في رحلة الاستهداف

بعد اجتياز مرحلتَي الاختراق والتحميل عبر البلوكشين، يدخل المهاجمون إلى مرحلة التنفيذ الإنساني وهي المحور الذي يجعل هذا الهجوم فعّالاً بصرف النظر عن كل الدفاعات التقنية. بعد استرداد الحمولة من سلسلة الكتل، تعرض الصفحة نافذة CAPTCHA مزيفة تُعلّم المستخدم بأسلوب ClickFix، وتُرشده إلى الضغط على Win+R ولصق أمر وضغط Enter، في حين تكون شيفرة JavaScript الخبيثة قد نسخت الأمر مسبقاً إلى الحافظة. وقد أكد الضحية لاحقاً أنه اتّبع هذه الخطوات معتقداً أن النافذة اختبار CAPTCHA عادي.

هذا التوظيف للهندسة الاجتماعية يُظهر أن كل التعقيد التقني السابق لم يكن إلا تمهيداً لحظة إنسانية واحدة: إقناع شخص حقيقي بلصق أمر في مربع Windows Run. يُطلق الأمر المُنفَّذ rundll32.exe بمسار UNC يُسبب اتصال النظام بمشاركة شبكة عن بُعد لتحميل DLL خبيثة مباشرةً في الذاكرة دون أي كتابة على القرص، وتُنشئ هذه الوحدة المُحمَّلة والمُعرَّفة بـ GULoader ثباتاً على الجهاز وتتواصل مع خادم تحكم وسيطرة ويمكنها تحميل مكونات إضافية للتحرك الجانبي وسرقة البيانات.

من حسن الطالع أن قاعدة الكشف السلوكي لـ Elastic Defend التي ترصد RunDLL32 بحجج غير اعتيادية أوقفت العملية في أقل من 300 ميلي ثانية، وأظهر تحليل ما بعد الإيقاف أنه لم تُنشأ أي عمليات فرعية ولم تُسجَّل أي اتصالات شبكية ولم يظهر أي دليل على سرقة بيانات.

تبقى الدروس المستفادة من هذا الهجوم أعمق من مجرد حادثة أمنية فردية. فهو يُثبت أن الاعتماد على السمعة وقوائم الحظر القائمة على العناوين وحدها لم يعد كافياً في مواجهة منظومات تُخزّن حمولاتها على سلسلة الكتل وتُوجّهها عبر مواقع شرعية وتُنفّذها بيد الضحية نفسه. تدريب المستخدمين على التعرف على نوافذ CAPTCHA المزيفة وأساليب ClickFix يُشكّل خط الدفاع الأول ضد المكوّن الاجتماعي للهجوم، إذ تطلّبت كامل سلسلة ما بعد الإصابة في هذه الحالة إجراءً واحداً متعمداً من الضحية.

محمد طاهر
محمد طاهر
المقالات: 1707

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.