هجوم سلسلة توريد يخترق أداة مراجعات Okendo ويهدد ملايين المتسوقين عبر الإنترنت

في ضربة موجعة طالت أكثر من 18 ألف علامة تجارية حول العالم، نجح مهاجمون إلكترونيون في اختراق إحدى أكثر أدوات مراجعات العملاء ثقةً وانتشاراً على منصات التجارة الإلكترونية، محوّلين إياها من واجهة تفاعلية بريئة إلى ناقل خبيث لنشر البرمجيات الضارة على نطاق واسع. الهجوم الذي كشف عنه باحثو Zscaler ThreatLabz يكشف بجلاء كيف يمكن لثغرة واحدة في مزوّد خدمة واحد أن تشكّل بوابة مفتوحة إلى ملايين المستخدمين في وقت واحد.

في الرابع عشر من مايو 2026، رصد فريق ThreatLabz التابع لشركة Zscaler نشاطاً غير اعتيادي مرتبطاً بالجهة التهديدية SmartApeSG، فكشف الفحص عن شيفرة JavaScript خبيثة مُضمَّنة داخل أداة Okendo Reviews، منصة مراجعات العملاء التي تستخدمها أكثر من 18 ألف علامة تجارية، وبما أن الأداة منتشرة على نطاق واسع، فقد أتاح هذا الاختراق تعرضاً مباشراً لكل موقع يعتمد عليها.

لفهم حجم الخطر، تجدر الإشارة إلى أن أداة Okendo Reviews لا تُوظَّف على صفحات هامشية، بل تُدمج في الصفحات الأكثر زيارةً: الصفحات الرئيسية للمتاجر، وصفحات المنتجات، ونماذج إرسال المراجعات. ومن هنا جاء اختيار المهاجمين لها مدروساً للغاية؛ فهي ليست مجرد أداة برمجية، بل ممر إلى ملايين الزوار يومياً.

كيف تحوّلت أداة المراجعات إلى فخ رقمي متطور ومتعدد المراحل؟

ما يجعل هذا الهجوم لافتاً للنظر ليس حجمه وحده، بل درجة التعقيد التقني الذي صُمِّم فيه الكود الخبيث للتهرب من أنظمة الكشف. استخدم الكود المُحقَن تعتيماً على الشيفرة وفحوصات بيئية وتنفيذاً متدرجاً، وتصرّف بوصفه محمِّلاً متدرجاً لا يسعى إلى تنفيذ كل الإجراءات فوراً، بل يركز على التحكم وإعادة البناء والاسترداد، مما قلّص مستوى ظهور الشيفرة ومنح المشغّل مرونة أكبر في التحكم بالعملية.

اعتمد الكود الخبيث في مرحلته الأولى تتبعاً للتنفيذ من جانب المتصفح عبر localStorage، إذ يكتب علامة زمنية عند أول تنفيذ، ويقصر الزيارات اللاحقة بناءً على تلك القيمة المخزنة، مما يُقلل من التكرار اللافت ويُبطئ اكتشافه. كما يُطبّق فلترةً على User-Agent تُحيّز التنفيذ نحو بيئات سطح المكتب وتستبعد صراحةً أجهزة الجوال.

هذه الهندسة الدقيقة تعني أن البرنامج الخبيث لا يُعلن عن نفسه بصخب، بل يجلس في الظل ويختار ضحاياه بعناية، يستهدف من هم على حاسوب مكتبي ويتجاهل زوار الهواتف، ويتجنب إعادة تنفيذ الكود على نفس الجهاز مرتين تفادياً للرصد.

الضحايا الذين اجتازوا فلاتر التحقق تُعرض عليهم شاشة CAPTCHA مزيفة أو نافذة تحقق وهمية وهو ما يُعرف بتقنية ClickFix، تطلب منهم فتح قائمة Windows Run ولصق أمر كان قد نُسخ بصمت إلى الحافظة، ليسحب هذا الأمر بعد ذلك سكريبت PowerShell أو ملف تطبيق HTML يُثبّت أداة وصول عن بُعد أو برنامجاً سارقاً للمعلومات.

SmartApeSG: جهة تهديدية بتاريخ موثّق من أساليب التلاعب الاجتماعي

SmartApeSG ليست وجهاً جديداً في عالم التهديدات السيبرانية، إذ يمتلك الباحثون سجلاً موثقاً من أنشطتها السابقة. تقود حملات SmartApeSG في الغالب إلى نشر أحصنة طروادة للوصول عن بُعد مثل NetSupport وRemcos، أو أدوات سرقة المعلومات مثل StealC، فضلاً عن برمجيات ضارة أخرى تمنح المهاجمين موطئ قدم دائم في الأنظمة المخترقة.

وفي ما يخص البنية التحتية المستخدمة، رصد الباحثون في السابق اعتماد هذه المجموعة على خوادم C2 مُستضافة على بنية تحتية روسية للتواصل مع الأجهزة المصابة، واستخدمت من قبل طعوم CAPTCHA المزيفة المُحقَنة في مواقع شرعية لإقناع المستخدمين بتنفيذ أوامر منسوخة إلى الحافظة، وهو الأسلوب ذاته الذي تطور الآن ليُوظَّف من خلال سلسلة توريد أوسع بكثير.

النطاق الفعلي للاختراق يستحق وقفة مستقلة: رصد ThreatLabz الأداة المخترقة مدمجةً في مواقع تتراوح بين متاجر متوسطة الحجم وعلامات تجارية كبرى في التجزئة، وتتراوح تقديرات الزيارات الشهرية للمواقع المتضررة بين 150 ألفاً وعدة ملايين، بل إن إحدى العلامات التجارية الأمريكية في السجل المرصود تستقطب ما يقارب 7 ملايين زيارة شهرياً.

سجّلت شبكة Zscaler في الرابع عشر من مايو 2026 وحده ما يقارب 15 ألف عملية حجب مرتبطة بـ SmartApeSG في يوم واحد، وهي ذروة حادة تعكس بوضوح حجم الانتشار الذي حققه الهجوم.

التداعيات وما تكشفه القضية عن مخاطر الاعتماد على أطراف ثالثة

تُجسّد هذه الحادثة المخاطر الجوهرية الكامنة في اختراقات الأدوات التابعة لجهات خارجية، إذ يكفي اختراق مزوّد خدمة واحد لدفع شيفرة قابلة للتنفيذ إلى آلاف المواقع وملايين جلسات المستخدمين. هذا النمط الذي يُعرف باسم هجمات سلسلة التوريد البرمجية، بات أحد أخطر الأساليب المتّبعة في المشهد السيبراني الراهن تحديداً لأنه يستغل الثقة لا يتحداها، فالمواقع لم تُخترق مباشرةً، بل استُخدم اسمها ومصداقيتها وعدد زوارها ورقةً في يد المهاجم.

يمكن للكود الخبيث المُحقَن أن يعمل في متصفح الزائر ويُحمّل مراحل إضافية ويُطلق طعوم ClickFix التي تدفع المستخدمين إلى تنفيذ أوامر، ومنها تصل سلسلة الإصابة إلى نشر حمولات ضارة إضافية وتُتيح نشاطاً مستمراً على الأنظمة المتضررة.

أما على صعيد الاستجابة، فقد أخطرت ThreatLabz شركة Okendo بالحادثة فور اكتشافها، وأكدت Okendo أنها كانت على علم بهذا الحادث الأمني واستعادت شيفرة الأداة إلى حالتها النظيفة. غير أن ساعات الهجوم الأولى قبل الكشف والمعالجة ظلت كافية للوصول إلى ملايين المتصفحات حول العالم، مما يذكّر بأن سرعة الاستجابة وحدها لا تمحو ما أمكن للمهاجم تحقيقه في فترة الصمت.

محمد وهبى
محمد وهبى
المقالات: 1253

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.