رصدت فرق تهديدات إلكترونية حملة ركّزت على استغلال مواقع WordPress المخترَقة ونشر شفرات خبيثة مخفية داخل عقود ذكية على سلاسل بلوكشين عامة (أبرزها BNB Smart Chain)، كآلية لتوزيع سراقات معلومات تستهدف أنظمة Windows وmacOS. تُنسب الحملة إلى فاعلٍ ذي دافع مالي يُعرف باسم UNC5142، الذي استخدم تقنية أطلق عليها باحثو الأمن اسم EtherHiding لإبعاد الشبهات وزيادة قدرة عملياته على الصمود أمام جهود الإزالة.
آلية الهجوم وسلسلة العدوى
تعتمد سلسلة الهجوم على مُحمّل JavaScript متعدد المراحل يسمى CLEARSHORT، يُحقن ضمن ملفات الإضافات (plugins) وملفات القوالب أو حتى في قاعدة بيانات WordPress. تقوم المرحلة الأولى من الشفرة بجلب المرحلة الثانية عبر التفاعل مع عقد ذكي مخزن على شبكة BSC؛ ثم يستدعي العقد صفحة هبوط (landing page) مشفَّرة تستعمل خُدْعَة اجتماعية من نوع ClickFix لخداع الضحية وتشجيعه على تنفيذ أوامر عبر حوار التشغيل (Run) في ويندوز أو عبر تطبيق Terminal في أجهزة ماك.
على أنظمة ويندوز يؤدي الأمر الخبيث إلى تنزيل ملف HTA يتبعه تنفيذ PowerShell يحمّل الحمولة النهائية المشفَّرة (من GitHub أو MediaFire أو بنية خارجية)، ويشغّل السارق مباشرة في الذاكرة لتجنب كتابة ملف على القرص. أما على macOS فكان المشغّل يطلب تنفيذ أمر bash يستدعي curl لتنزيل شيفرة تُجهز حمولة مثل Atomic Stealer.
عقود البلوكشين كقناة تحمّل ومصدر مرونة تشغيلية
استُخدمت العقود الذكية ليس لتشغيل الشيفرة الشريرة على السلسلة نفسها، بل كخادم موزّع للمؤشرات والبيانات المشفّرة — ما يجعل حذف البينة التشغيلية أصعب ويغطي نشاط الجهة المهاجمة داخل حركة Web3 المشروعة. انتقل UNC5142 من بنية عقد واحد إلى نظام ثلاثي العقود منذ نوفمبر 2024، وهو نمط يعمل كـ Router-Logic-Storage يمكّن المشغل من تعديل عناوين صفحات الهبوط أو مفاتيح فك التشفير دون الحاجة لتغيير الجافاسكربت المحقون في المواقع المخترقة. وتكلفة هذه التعديلات على السلسلة ضئيلة (تُقدّر سنتات إلى دولارين لكل تحديث)، ما يمنح الحملة مرونة وسرعة تحديث تكتيكاتها.
حجم الانتشار وتطور البنية التشغيلية
بحسب التحليلات، سجّلت جهود المسح نحو يونيو 2025 وجود ما يقرب من 14,000 صفحة ويب تضم جافاسكربت محقونًا يرتبط بسلوكيات UNC5142، ما يدل على استهداف واسع لمواقع WordPress المتضررة. ورغم ذلك، أفادت المراقبة بعدم رصد نشاط ملحوظ للحملة منذ 23 يوليو 2025، ما قد يشير إلى توقف مرحلي أو تغيير في التكتيكات. كما ظهر أن الحملة طورت بنيتها إلى بنية احتياطية (نشط/ثانوي) أضيفت في فبراير 2025 لدعم موجات تشغيلية منفصلة أو لاختبار طُعمٍ جديد أو لتعزيز المرونة التشغيلية.
مخاطر وتوصيات سريعة للمؤسسات المالكة لمواقع WordPress
توفر الاستراتيجية التي يتبعها UNC5142 مزايا عملية للمهاجم: إخفاء المصدر، مقاومة لجهود الإزالة، وإمكانية تحديث السلاسل الهجومية بتكلفة منخفضة. أما على مستوى الدفاع فيجب التركيز على:
-
تحمّيْن وإغلاق ثغرات منصات إدارة المحتوى والإضافات وتحديث خوادم Jenkins وأية خدمات إدارة تلقائية.
-
فحص الملفات والقوالب وقواعد البيانات بحثًا عن جافاسكربت محقون أو تغييرات غير مألوفة، خصوصًا ضمن ملفات الإضافات والقوالب.
-
مراقبة سلوك الصفحات للحماية من عمليات إعادة التوجيه لصفحات هبوط مشفّرة أو تحميل HTA/سكريبتات عبر مصادر خارجية.
-
تطبيق دفاعات تمنع تنفيذ أوامر مستخدم تلقائيًا (تعليمات Run/Terminal) وتثقيف المستخدمين بعدم تنفيذ أوامر يحثون عليها رسائل تحديث كاذبة.
-
مراقبة حركة الشبكة لاكتشاف استدعاءات لعقود بلوكشين مريبة أو طلبات متكررة لصفحات .dev أو مستودعات ملفات خارجية.
