كشف باحثون في الأمن السيبراني عن نوع جديد من برمجيات Skimmer يستغل قنوات بيانات WebRTC كوسيلة لتحميل الحمولة الخبيثة وإخراج بيانات الدفع المسروقة، متجاوزًا بذلك سياسات Content Security Policy (CSP) التي عادةً ما تُستخدم لحماية مواقع التجارة الإلكترونية.
وبحسب تقرير شركة Sansec، فإن هذا الهجوم لا يعتمد على الطلبات التقليدية عبر HTTP أو إشارات الصور، بل يستخدم قنوات WebRTC المشفرة عبر بروتوكول UDP، ما يجعل حركة البيانات أكثر صعوبة في الاكتشاف من قبل أدوات المراقبة الشبكية.
ثغرة PolyShell: بوابة الاختراق
الهجوم استهدف موقعًا للتجارة الإلكترونية تابعًا لشركة سيارات، وتم تنفيذه عبر ثغرة جديدة أُطلق عليها اسم PolyShell، تؤثر على منصتي Magento Open Source و Adobe Commerce.
تسمح هذه الثغرة للمهاجمين غير الموثقين برفع ملفات تنفيذية عشوائية عبر واجهة REST API، ما يؤدي إلى تنفيذ تعليمات برمجية ضارة داخل الخادم. ومنذ 19 مارس 2026، رُصدت عمليات استغلال جماعي للثغرة من أكثر من 50 عنوان IP، فيما أظهرت الإحصاءات أن 56.7% من المتاجر الضعيفة تعرضت لهجمات فعلية.
آلية عمل الـ Skimmer عبر WebRTC
البرمجية الخبيثة مصممة كسكربت ذاتي التنفيذ ينشئ اتصالًا مباشرًا عبر WebRTC Peer Connection مع عنوان IP ثابت (“202.181.177[.]177”) على المنفذ 3479.
بعد ذلك، يتم جلب شيفرة JavaScript خبيثة تُحقن في صفحات الموقع بهدف سرقة بيانات الدفع من المستخدمين.
الخطير هنا أن حتى المواقع التي تطبق سياسات CSP صارمة لمنع الاتصالات غير المصرح بها عبر HTTP تبقى عرضة للاختراق، لأن WebRTC يعمل عبر قنوات مشفرة باستخدام DTLS، ما يجعل البيانات المسروقة غير مرئية لأدوات الفحص التقليدية.
تفاصيل إضافية حول ثغرة PolyShell
فريق Assetnote التابع لشركة Searchlight Cyber أوضح أن أصل الثغرة يكمن في وظيفة تدعى ImageProcessor::processImageContent()، والتي تقبل أي صورة “صالحة” كمدخل وتنقلها إلى مجلد الوجهة.
المشكلة أن التحقق يقتصر على حجم الملف ونوع MIME وصحة الاسم، دون التأكد من تطابق الامتداد
مع النوع الفعلي. هذا يسمح برفع ملفات متعددة الصيغ (Polyglot Shell) عبر طلب HTTP POST إلى المسار:
/rest/default/V1/guest-carts/{cart_id}/items
وبمجرد رفع الملف، يمكن استدعاؤه لتنفيذ التعليمات البرمجية إذا كان الخادم مُهيأ بشكل خاطئ.
الباحث Tomais Williamson أشار إلى أن الالتزام بتوصيات Adobe في إعدادات Nginx/Apache يمنع الوصول إلى هذه الملفات، لكن أي انحراف عن هذه الإعدادات أو غياب ملفات .htaccess قد يؤدي إلى إمكانية تنفيذ الملفات الضارة أو استغلالها في هجمات XSS.
إجراءات الحماية الموصى بها
أصدرت Adobe إصلاحًا للثغرة في النسخة التجريبية 2.4.9-beta1 بتاريخ 10 مارس 2026، لكنه لم يصل بعد إلى الإصدارات الإنتاجية.
وينصح الخبراء مالكي المتاجر الإلكترونية بـ:
حظر الوصول إلى مجلد pub/media/custom_options/
- فحص المتاجر بحثًا عن Web Shells وBackdoors والبرمجيات الخبيثة الأخرى
- التأكد من الالتزام الصارم بإعدادات الخوادم الموصى بها من Adobe لمنع تنفيذ الملفات الضارة
