أظهرت حملة حديثة من هجمات Magecart أن الشيفرات الخبيثة يمكن أن تختبئ في بيانات EXIF داخل أيقونة favicon يتم تحميلها ديناميكياً من طرف ثالث، لتعمل بالكامل في متصفح المستخدم أثناء عملية الدفع. هذا النوع من الهجمات لا يمر عبر مستودع الشيفرة الخاص بالمؤسسة، وبالتالي لا يمكن لأدوات الفحص الثابت مثل Claude Code Security اكتشافه، لأنها مصممة لتحليل الشيفرة المخزنة في المستودعات فقط.
كيف يختبئ الهجوم؟
يتكون الهجوم من سلسلة تحميل ثلاثية المراحل:
- يبدأ بتحميل سكربت من عنوان يبدو شرعياً على شبكة CDN.
- السكربت يبني عنواناً مشفراً يشير إلى favicon خبيث.
- يتم استخراج الحمولة من بيانات EXIF داخل الصورة وتنفيذها .
- أخيراً، تُرسل بيانات الدفع المسروقة مباشرة إلى خادم المهاجم.
كل ذلك يحدث في المتصفح، دون أي تغيير في شيفرة التاجر الأصلية.
لماذا لا تكفي أدوات الفحص الثابت؟
هجمات Magecart لا تستهدف عادةً الشيفرة الأصلية، بل تستغل سلاسل التوريد الرقمية:
- إطارات iframe خبيثة تُحقن عبر إضافات طرف ثالث.
- إساءة استخدام بكسلات التتبع عند اختراق شبكات CDN أو مزودي التحليلات.
- التقاط بيانات عبر DOM باستخدام سكربتات تُحمّل من مديري العلامات.
هذه الهجمات كلها تعمل في وقت التشغيل، خارج نطاق أدوات مثل Claude Code Security، التي تركز على الشيفرة التي يكتبها المطورون فقط.
أهمية المراقبة في وقت التشغيل
لمواجهة هذا النوع من التهديدات، يصبح الرصد المستمر لما يجري في المتصفح ضرورياً. أدوات المراقبة في وقت التشغيل تكشف:
- ما الشيفرة التي تُنفذ فعلياً في متصفحات المستخدمين.
- كيف تتصرف تلك الشيفرات، وهل تُرسل بيانات إلى جهات غير موثوقة.
لكن هذه الأدوات ليست بديلاً عن الفحص الثابت؛ بل جزء من استراتيجية الدفاع متعدد الطبقات. الفحص الثابت يقلل من سطح الهجوم في الشيفرة الأصلية، بينما المراقبة في وقت التشغيل تكشف ما يتجاوز المستودع ويحدث مباشرة في بيئة المستخدم.
