هجوم سلسلة توريد يستهدف إضافات ووردبريس الشهيرة بزرع أبواب خلفية خفية

هجمات إلكترونية تستهدف ثغرة في إضافة Gravity SMTP لووردبريس وتكشف مفاتيح API السرية
هجمات إلكترونية تستهدف ثغرة في إضافة Gravity SMTP لووردبريس وتكشف مفاتيح API السرية
شارك هذا الخبر

كشف باحثو الأمن السيبراني عن حملة واسعة استهدفت مواقع ووردبريس عبر التلاعب بملفات JavaScript الخاصة بإضافات شائعة مثل PushEngage وOptinMonster وTrustPulse، وهي جميعًا مملوكة لشركة Awesome Motive.
الهجوم اعتمد على إدخال شيفرة خبيثة داخل ملفات موثوقة، بحيث يتم تفعيلها فقط عند دخول مدير الموقع وهو مسجّل الدخول، لتقوم بإنشاء حساب إداري جديد تحت سيطرة المهاجم، وتنصيب إضافة مخفية تعمل كقناة وصول دائمة (web shell).
الزوار العاديون لم يتأثروا مباشرة، لكن أي موقع تعرض للهجوم يُعتبر مخترقًا بالكامل ويجب التعامل معه على هذا الأساس.

كيف عملت الثغرة؟

وفقًا لشركة Sansec، الشيفرة الخبيثة لم تُظهر أي نشاط عند التصفح العادي، بل استغلت جلسة المدير المسجّل لتمنح المهاجم صلاحيات كاملة.
الخطوات تضمنت:

  • إنشاء حساب إداري جديد (مثل developer_api1 أو dev_xxxxxx).
  • تنصيب إضافة مخفية لا تظهر في لوحة التحكم.
  • إرسال بيانات الدخول ومعلومات الموقع إلى نطاق مزيف هو tidio[.]cc.
  • فتح قناة أوامر عن بُعد تسمح بقراءة الملفات، نسخ قواعد البيانات، زرع أبواب خلفية إضافية، أو حقن شيفرات لسرقة بيانات الدفع.
النطاق الزمني للهجوم
  • OptinMonster وTrustPulse: تعرضتا للشيفرة الخبيثة لمدة 25 دقيقة فقط في 12 يونيو 2026 (من 22:17 حتى 22:42 UTC).
  • PushEngage: فترة التعرض كانت أطول، امتدت لساعات في 12 يونيو، وظلت بعض خوادم CDN تقدم الملفات الملوثة حتى 14 يونيو.
    تقديرات Sansec تشير إلى أن هذه الإضافات الثلاثة تصل إلى أكثر من 1.2 مليون موقع، معظمها عبر OptinMonster وحدها.
نقطة الدخول المحتملة

شركة PushEngage رجّحت أن المهاجم استغل ثغرة في إضافة النسخ الاحتياطي UpdraftPlus (CVE-2026-10795، خطورتها 8.1)، لاختراق خادم موقعها التسويقي والحصول على مفتاح API خاص بشبكة CDN.
لكن Sansec لم تؤكد هذه الرواية، مشيرة إلى أن نقطة الدخول لا تزال غير محسومة، وقد تكون مرتبطة بخوادم Awesome Motive نفسها أو حسابات CDN.

ما الذي يجب على أصحاب المواقع فعله؟
  • إجراء فحص مباشر على الخادم، وليس عبر لوحة التحكم.
  • البحث في مجلد wp-content/plugins عن إضافات مشبوهة مثل content-delivery-helper أو database-optimizer.
  • حذف أي حساب إداري غير معروف.
  • مراجعة سجلات الخادم بين 12 و14 يونيو لرصد اتصالات مع النطاق tidio.cc أو الخادم 84.201.6.54.
  • في حال وجود مؤشرات اختراق، يجب تغيير جميع كلمات المرور، مفاتيح API، بيانات قواعد البيانات، ومفاتيح التشفير في ملف wp-config.php.
  • تحديث إضافة UpdraftPlus فورًا، حتى لو لم يكن لها علاقة مباشرة بالهجوم، نظرًا لوجود ثغرة مؤكدة تم استغلالها سابقًا.
وسوم
محمد طاهر
محمد طاهر
المقالات: 1656

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة