Netcrook Logo
👤 SECPULSE
🗓️ 10 Apr 2026  

خيانة يوم الصفر: كيف تحوّلت إضافة ووردبريس موثوقة إلى ساحة لعب لمجرمي الإنترنت

العنوان الفرعي: لمدة ست ساعات، رحّبت آلاف المواقع دون أن تدري بالقراصنة عبر تحديث مسمّم لإضافة Smart Slider 3 Pro.

عندما تتحوّل الثقة إلى سلاح، قد يقع حتى أكثر مالكي المواقع يقظةً ضحيةً. في منعطف درامي لمجتمعي ووردبريس وجوملا، اختطف المهاجمون خلسةً نظام التحديث الخاص بـ Smart Slider 3 Pro - وهي إضافة يثق بها مئات الآلاف - لتوزيع نسخة مزروعة بباب خلفي حوّلت المواقع إلى أهداف مفتوحة. هذا الاختراق، الذي لم يُكتشف إلا بعد نافذة حاسمة امتدت ست ساعات، يكشف مدى هشاشة سلسلة الإمداد الرقمية، وكيف يستغل المهاجمون على نحو متزايد الأدوات ذاتها المفترض أن تُبقي المواقع آمنة ومحدَّثة.

تشريح كابوس سلسلة الإمداد

بدأ الهجوم عندما اخترق فاعلو تهديد مجهولون بنية Nextend التحتية للتحديث، ما أتاح لهم دفع إصدار خبيث بالكامل من Smart Slider 3 Pro عبر قناة التحديث الرسمية. أي موقع حدّث إلى الإصدار 3.5.1.35 خلال تلك الساعات الست لم يتلقَّ رقعة أمان، بل قنبلة موقوتة: مجموعة أدوات باب خلفي متعددة الطبقات مصممة للتخفي والاستمرارية.

لم يكن هذا مجرد Webshell عادي. منحت البرمجية الخبيثة المهاجمين تنفيذ أوامر عن بُعد مُسبق المصادقة عبر ترويسات HTTP مخصصة، ما يعني أن القراصنة استطاعوا تشغيل أوامر نظام عشوائية دون الحاجة حتى لتسجيل الدخول. كما أنشأت حسابات مدير مخفية - مثل “wpsvc_a3f1” - غير مرئية لمالكي المواقع الشرعيين، عبر تلاعبات ذكية باستعلامات المستخدمين في ووردبريس نفسه. وثبّت فاعلو التهديد أبوابهم الخلفية في عدة أماكن: متنكرين كإضافات تخزين مؤقت شرعية، ومُلحقين شيفرة خبيثة بملفات القوالب، ومختبئين داخل أدلة النواة، لضمان قدرتهم على استعادة الوصول حتى لو كُشف أحد الأساليب وأُزيل.

وللتهرب من الاكتشاف، خزّنت البرمجية الخبيثة مفاتيح سرية وبيانات اعتماد ضمن خيارات ووردبريس غامضة مع تعطيل التحميل التلقائي، ما يجعل ظهورها أقل احتمالًا في تفريغات قواعد البيانات القياسية. كما سرّبت كنزًا من المعلومات الحساسة - بما في ذلك عناوين URL للمواقع، وبيانات اعتماد المدير، وجميع آليات الاستمرارية - إلى نطاق تحكم وسيطرة بعيد.

وصفت Patchstack، الشركة الأمنية التي حللت الهجوم، ما حدث بأنه “اختراق لسلسلة الإمداد على الطريقة المدرسية” - ذلك النوع من الخروقات الذي يجعل دفاعات المحيط بلا معنى. عندما تصبح إضافة موثوقة هي الناقل، لا تقدّم الجدران النارية وضوابط الوصول سوى حماية محدودة. الإضافة نفسها هي البرمجية الخبيثة.

وردّت Nextend بإيقاف خوادم التحديث، وسحب الإصدار الخبيث، وإطلاق تحقيق شامل. ويُحثّ مالكو المواقع الآن على التحديث إلى الإصدار 3.5.1.36، وتنظيف مواقعهم من أي ملفات أو حسابات مشبوهة، وتغيير جميع بيانات الاعتماد - بما في ذلك كلمات مرور قاعدة البيانات وFTP وحسابات المدير. كما يُوصى بشدة بتفعيل المصادقة الثنائية وتعطيل تنفيذ PHP في مجلدات الرفع.

تأملات: ثق، لكن تحقّق

هذا الحادث تذكير صارخ: في عصر هجمات سلسلة الإمداد المتطورة، لم تعد الثقة وحدها كافية. يجب على مالكي المواقع أن يظلوا يقظين، ليس فقط ضد التهديدات الخارجية، بل أيضًا ضد التحديثات ذاتها التي يعتمدون عليها. ومع توجيه مجرمي الإنترنت أنظارهم إلى سلسلة إمداد البرمجيات، فالسؤال ليس هل سيحدث ذلك، بل متى ستتحول الأداة الموثوقة التالية إلى حصان طروادة.

WIKICROOK

  • باب خلفي: الباب الخلفي هو طريقة خفية للوصول إلى حاسوب أو خادم مع تجاوز فحوصات الأمان المعتادة، وغالبًا ما يستخدمه المهاجمون للحصول على تحكم سري.
  • تنفيذ الشيفرة عن بُعد (RCE): تنفيذ الشيفرة عن بُعد (RCE) هو عندما يشغّل المهاجم شيفرته الخاصة على نظام الضحية، وغالبًا ما يؤدي ذلك إلى سيطرة كاملة على ذلك النظام أو اختراقه.
  • الاستمرارية: تتضمن الاستمرارية تقنيات تستخدمها البرمجيات الخبيثة للبقاء بعد إعادة التشغيل والاختباء داخل الأنظمة، وغالبًا عبر محاكاة عمليات أو تحديثات شرعية.
  • هجوم سلسلة الإمداد: هجوم سلسلة الإمداد هو هجوم سيبراني يساوم مزودي البرمجيات أو العتاد الموثوقين، ناشرًا برمجيات خبيثة أو ثغرات إلى العديد من المؤسسات دفعة واحدة.
  • أمر: الأمر هو تعليمة تُرسل إلى جهاز أو برنامج، غالبًا من خادم تحكم وسيطرة (C2)، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
WordPress Cybersecurity Supply Chain
SECPULSE SECPULSE
SOC Detection Lead
← Back to news