كشفت شركة Patchstack المتخصصة في أمن ووردبريس عن حادثة خطيرة تمثلت في اختراق نظام التحديثات الخاص بإضافة Smart Slider 3 Pro الشهيرة، حيث تمكن مهاجمون مجهولون من دفع نسخة خبيثة تحمل بابًا خلفيًا عبر القنوات الرسمية للتحديث. الحادثة أثرت على الإصدار 3.5.1.35 من الإضافة المخصصة لووردبريس، والتي تُستخدم على نطاق واسع في أكثر من 800 ألف موقع عبر نسختيها المجانية والمدفوعة.
تفاصيل الاختراق وآلية التوزيع
بحسب بيان الشركة المطورة Nextend، فقد تمكن طرف غير مصرح له من الوصول إلى البنية التحتية الخاصة بالتحديثات ودفع نسخة مُعدلة بالكامل من الإضافة عبر القناة الرسمية. أي موقع قام بالتحديث خلال الفترة بين 7 أبريل 2026 وحتى اكتشاف الثغرة بعد ست ساعات فقط، تلقى نسخة مُسلحة بأدوات وصول عن بُعد. هذا النوع من الهجمات يُعرف بـ”اختراق سلسلة التوريد”، حيث يتم استغلال الثقة في القنوات الرسمية لتوزيع برمجيات خبيثة.
قدرات الباب الخلفي
النسخة المُسممة تضمنت مجموعة واسعة من القدرات الخبيثة، أبرزها:
- إنشاء حسابات إدارية مخفية مثل “wpsvc_a3f1” مع إخفائها عن أعين المدراء الشرعيين عبر التلاعب بمرشحات النظام.
- تنفيذ أوامر نظام التشغيل عن بُعد عبر رؤوس HTTP مخصصة مثل X-Cache-Status و X-Cache-Key.
- تشغيل تعليمات PHP عشوائية عبر معلمات طلبات مخفية.
- زرع ملفات خبيثة في مواقع متعددة لضمان الاستمرارية، مثل إضافة مكون “object-cache-helper.php” في مجلد الإضافات، وتعديل ملف “functions.php” في القالب النشط، وإضافة ملف “class-wp-locale-helper.php” داخل مجلد “wp-includes”.
- استخراج بيانات حساسة وإرسالها إلى خادم تحكم وسيطرة (C2) على النطاق “wpjs1[.]com”، بما في ذلك بيانات تسجيل الدخول وقاعدة البيانات والبريد الإلكتروني الإداري.
الإجراءات التصحيحية والتوصيات
أوضحت Nextend أنها أوقفت خوادم التحديث فور اكتشاف الاختراق وسحبت النسخة الخبيثة، كما أطلقت تحقيقًا شاملاً في الحادثة. وأكدت أن النسخة المجانية من الإضافة لم تتأثر. في المقابل، نصحت Patchstack المستخدمين الذين قاموا بتثبيت الإصدار المصاب باتباع خطوات تنظيف دقيقة، منها:
- إزالة أي حسابات إدارية مشبوهة.
- حذف الإصدار المصاب وإعادة تثبيت نسخة نظيفة.
- إزالة الملفات الخبيثة المزروعة في مجلدات ووردبريس.
- تنظيف جدول الخيارات في قاعدة البيانات من القيم الخبيثة مثل: _wpc_ak، _wpc_uid، _wpc_uinfo.
- إعادة تعيين كلمات مرور المدير وقاعدة البيانات، وتغيير بيانات الدخول لخدمات FTP/SSH.
- تفعيل المصادقة الثنائية (2FA) وتعطيل تنفيذ PHP في مجلد التحميلات.
دلالات على خطورة اختراقات سلسلة التوريد
الحادثة تُعد مثالًا كلاسيكيًا على خطورة هجمات سلسلة التوريد البرمجية، حيث تصبح الدفاعات التقليدية مثل الجدران النارية أو آليات التحقق من الصلاحيات غير فعالة عندما يتم تمرير الشيفرة الخبيثة عبر قناة تحديث موثوقة. هذه الواقعة تؤكد أن التهديدات لم تعد تقتصر على الثغرات المباشرة في البرمجيات، بل تشمل أيضًا البنية التحتية التي يعتمد عليها المطورون والمستخدمون على حد سواء.
