Netcrook Logo
👤 SECPULSE
🗓️ 15 Apr 2026  

العدّ التنازلي لحصان طروادة: كيف تحوّلت إضافات ووردبريس الموثوقة إلى أنظمة صامتة لتسليم البرمجيات الخبيثة

العنوان الفرعي: هجوم خفي على سلسلة التوريد استغل الثقة بالإضافات وغموض الأسواق لإصابة مواقع ووردبريس بعد أشهر من عملية استحواذ بلغت قيمتها ستة أرقام.

بدأ الأمر بتحديث هادئ لإضافة - مجرد فحص توافق روتيني آخر، كما بدا. لكن تحت سطح إضافة Countdown Timer Ultimate الشهيرة، كان فصلٌ شرير جديد في أمن ووردبريس يتكشف. بعد أشهر من بيعٍ بارز لإضافة، أطلق المهاجمون حملة برمجيات خبيثة مؤجلة من شأنها اختراق عدد لا يُحصى من المواقع، مستغلين ثقةً راسخة منذ زمن وشقوقًا غير مرئية في منظومة ووردبريس.

داخل الهجوم المؤجل: خط زمني لثقةٍ مُستباحة

انطلق أول إنذار عندما لاحظ مالك موقع تنبيهًا غير معتاد في لوحة التحكم لإضافة Countdown Timer Ultimate. كان فريق الإضافات في WordPress.org قد وضع علامة على الإضافة لاحتوائها على شيفرة قد تُمكّن وصول طرف ثالث غير مصرح به. وبحلول ذلك الوقت، كانت العدوى قد حفرت طريقها بالفعل إلى ملفات إعدادات الموقع الأساسية، حتى بينما سارع WordPress.org إلى إصدار تحديثٍ إجباري لقطع الطريق على التهديد.

لسنوات، كانت وحدة wpos-analytics في الإضافة أداة تحليلات شرعية. وجاءت نقطة التحول بهدوء مع الإصدار 2.6.7، الذي صدر في أغسطس 2025، حيث ذكر سجل التغييرات بشكل بريء “فحص توافق”. في الواقع، تم تهريب ما يقرب من 200 سطر من الشيفرة الجديدة - بما في ذلك باب خلفي قائم على إلغاء تسلسل PHP مدفون داخل class-anylc-admin.php. أتاحت هذه الشيفرة للإضافة جلب بيانات عن بُعد، ثم تنفيذ أي شيفرة يتلقاها من خادم المهاجم - من دون أي مصادقة.

والالتواء الأكثر خبثًا؟ ظل الباب الخلفي خاملاً لمدة ثمانية أشهر. ولم يُطلق المهاجم الزناد إلا في أبريل 2026، مُفعّلًا الحمولة المخفية عبر مواقع كانت قد حدّثت إضافاتها بانتظام عبر القنوات الرسمية. قلّل التأخير الشبهات، ورفع نطاق الانتشار إلى أقصاه.

وراء هذا الاختراق تكمن مشكلة أوسع في المنظومة. لا توجد عملية رسمية لوضع علامة على تغييرات ملكية الإضافات في WordPress.org، ولا تنبيهات لمالكي المواقع، ولا مراجعة تلقائية للشيفرة عند انتقال الإشراف على الإضافة. هذا النقص في الشفافية يترك الباب مفتوحًا على مصراعيه أمام المهاجمين لتسليح برمجيات موثوقة بهدوء - غالبًا بعد أشهر من استحواذ شرعي.

وليست هذه الحادثة الأولى من نوعها. فقد شهدت فضيحة Display Widgets عام 2017 استخدام إضافة مُستحوذ عليها لحقن رسائل مزعجة في مواقع غير متوقعة. غير أن حملة Essential Plugin تُظهر مدى سهولة تمكين أسواق عامة ورقابة غير مرئية لهجمات واسعة النطاق وبطيئة الاحتراق على سلسلة التوريد عبر مئات الآلاف من المواقع.

الخلاصة: الكلفة الباهظة للثقة العمياء

إن تسليح إضافات ووردبريس الموثوقة جرس إنذار صارخ لمالكي المواقع والمطورين والمجتمع الأوسع. ومع ازدياد صبر المهاجمين وتطورهم، قد لا يعود الاعتماد على الثقة والروتين وحدهما كافيًا. في عالم المصادر المفتوحة، ليست الشفافية مجرد قيمة - بل خط دفاع حيوي.

WIKICROOK

  • باب خلفي: الباب الخلفي هو طريقة خفية للوصول إلى جهاز كمبيوتر أو خادم، متجاوزًا فحوصات الأمان المعتادة، وغالبًا ما يستخدمه المهاجمون للحصول على تحكم سري.
  • إلغاء التسلسل: يحوّل إلغاء التسلسل البيانات إلى كائنات قابلة للاستخدام داخل البرنامج. وإذا لم يُنفَّذ بأمان، فقد يتيح للمهاجمين حقن تعليمات ضارة داخل التطبيقات.
  • تنفيذ تعليمات برمجية عن بُعد: يتيح تنفيذ التعليمات البرمجية عن بُعد للمهاجمين تشغيل أوامر على جهازك من مسافة، وغالبًا ما يؤدي إلى اختراق كامل للنظام وسرقة البيانات.
  • سلسلة التوريد: يستهدف هجوم سلسلة التوريد مورّدين أو خدمات من طرف ثالث لاختراق عدة جهات عبر استغلال علاقات خارجية موثوقة.
  • نقطة نهاية REST API: نقطة نهاية REST API هي عنوان URL محدد ضمن خدمة ويب يتيح الوصول عن بُعد أو استرجاع البيانات باستخدام بروتوكول REST.
WordPress security malware attack supply-chain attack
SECPULSE SECPULSE
SOC Detection Lead
← Back to news