ماذا حدث
كشفت شركة الأمن الإلكتروني Sansec المتخصصة في تجارة التجزئة الرقمية عن هجوم سلسلة توريد (Supply-Chain Attack) استهدف شبكة توزيع المحتوى (CDN) التابعة لشركة Awesome Motive، مطوِّرة إضافات ووردبريس الشهيرة OptinMonster وTrustPulse وPushEngage. أتاح الهجوم تحميل شيفرات JavaScript خبيثة على الملايين من المواقع التي تعتمد هذه الإضافات دون علم أصحابها.
تُعدّ إضافة OptinMonster الأكثر انتشاراً في الحزمة الثلاثية، إذ يستخدمها أكثر من 1.2 مليون موقع لتحسين معدلات التحويل وتوليد العملاء المحتملين.
التفاصيل
**نقطة الدخول**
أعلنت Awesome Motive أن المهاجمين اخترقوا خادم موقع تسويقي خاص بها عبر استغلال ثغرة معروفة في إضافة UpdraftPlus لووردبريس. هذا الخادم لم يكن متصلاً ببنية الإنتاج ولا بقواعد بيانات المستخدمين، غير أنه كان يحتوي على بيانات اعتماد حساب CDN الخاص بالشركة، وهو ما مكّن المهاجمين من الاستيلاء على مفتاح API الخاص بشبكة التوزيع.
**تلويث ملفات CDN**
باستخدام مفتاح CDN المسروق، عدَّل المهاجمون ملفات JavaScript المُوزَّعة عبر النطاقات التالية:
- `a.omappapi.com/app/js/api.min.js` — OptinMonster
- `a.opmnstr.com/app/js/api.min.js` — OptinMonster
- `a.optnmstr.com/app/js/api.min.js` — OptinMonster
- `a.trstplse.com/app/js/api.min.js` — TrustPulse
سرت البرمجية الخبيثة على مواقع OptinMonster وTrustPulse بين الساعة 22:17 و22:42 UTC في يوم الجمعة 12 يونيو 2025، فيما استمر PushEngage في توزيع الكود الخبيث حتى الساعة 19:02 UTC من اليوم التالي.
**آلية عمل البرمجية الخبيثة**
صُمِّمت الشيفرة الخبيثة لتنشط فقط عندما يزور مدير الموقع (WordPress Administrator) صفحةً على الموقع المُصاب، حيث تقوم بـ: 1. جمع رموز المصادقة (Authentication Tokens) والـ Nonces. 2. إنشاء حساب مدير وهمي جديد. 3. تثبيت إضافة باب خلفي (Backdoor Plugin) تخفي نفسها بتغيير اسمها دورياً؛ رُصدت تحت اسمَي "Content Delivery Helper" (v2.7.1) و"Database Optimizer" (v2.9.4) مع الحفاظ على الكود الداخلي نفسه. 4. فتح قناة اتصال مع نطاق ينتحل هوية منصة Tidio لإرسال البيانات المسروقة.
تضمّن الباب الخلفي صلاحيات واسعة شملت Web Shell باسم "WPM File Manager Shell" وتنفيذ كود PHP اعتباطي، مما منح المهاجمين سيطرة تامة على المواقع المُخترقة.
**حجم الاختراق والاحتواء**
أكدت Awesome Motive أن خوادم التطبيقات والكود المصدري وأنظمة تخزين بيانات المستخدمين لم تُمَسّ، وأنه لا دليل على اختراق بيانات الحسابات أو المعلومات الشخصية. وقد أعلنت الشركة إصلاح الخادم المخترق ونقله إلى بنية تحتية جديدة مع تدوير جميع بيانات الاعتماد بما فيها مفتاح CDN.
لماذا يهمّك
هجمات سلسلة التوريد (Supply-Chain Attacks) عبر شبكات CDN خطرة بشكل استثنائي؛ إذ تُحمَّل ملفات JavaScript الخبيثة مباشرةً من مصدر موثوق في نظر المتصفح والخوادم، مما يجعل اكتشافها أمراً عسيراً على أدوات الأمن التقليدية. الأدهى أن الموقع المستهدَف قد يظل تحت سيطرة المهاجمين حتى بعد إزالة الكود الخبيث من CDN، طالما بقي الحساب الإداري الوهمي والإضافة الخلفية فعّالَين.
بالنظر إلى الانتشار الواسع لـ OptinMonster وحدها (أكثر من 1.2 مليون موقع)، يبقى النطاق الحقيقي للتأثير غير محدد بشكل كامل حتى الآن.
توصيات
إن كنت تُشغّل أياً من الإضافات المتأثرة وكان موقعك نشطاً خلال يومَي 12 و13 يونيو 2025، فيُوصى باتخاذ الخطوات التالية فوراً:
- **التحقق من الحسابات الإدارية**: ابحث عن حسابات باسم `developer_api1` أو بنمط `dev_xxxxxx` واحذفها فور اكتشافها.
- **فحص الإضافات المخفية**: تفقّد مجلد `wp-content/plugins` مباشرةً على مستوى نظام الملفات بحثاً عن إضافات مجهولة.
- **إجراء فحص أمني شامل**: شغّل أدوات فحص البرمجيات الخبيثة على مستوى الخادم.
- **تدوير بيانات الاعتماد**: غيّر كلمات مرور المدراء، ومفاتيح API، وبيانات اعتماد قاعدة البيانات، فضلاً عن WordPress Security Salts.
