ماذا حدث
أعلنت شركة الأمن السيبراني Sansec في 13 يونيو 2025 عن اكتشافها حملة تلاعب منظّمة استهدفت ملفات JavaScript التي تخدمها ثلاث إضافات WordPress واسعة الانتشار، هي: PushEngage وOptinMonster وTrustPulse، وجميعها تحت ملكية شركة Awesome Motive. وقد حوّل المهاجم تلك الملفات الموثوقة إلى أداة اختراق تزرع أبواباً خلفية (Backdoors) في المواقع المتضرّرة.
بعد يوم واحد، أصدرت PushEngage إشعاراً رسمياً بالحادثة، مؤكدةً أن نسخاً معدّلة من نصوصها البرمجية جرى توزيعها على المواقع العميلة. أما OptinMonster وTrustPulse فلم تُصدرا أي بيان رسمي حتى 15 يونيو.
التفاصيل
**نافذة الإصابة**
لم تكن مدة التعرّض متساوية بين الإضافات الثلاث؛ إذ رصدت Sansec الكود الخبيث في OptinMonster وTrustPulse لنحو 25 دقيقة فحسب في 12 يونيو بين الساعة 22:17 و22:42 بتوقيت UTC. في المقابل، امتدّ تعرّض PushEngage لساعات عدة في اليوم ذاته، واستمر تسليم النصوص الملوّثة من بعض خوادم شبكة توصيل المحتوى (CDN) حتى 14 يونيو.
**آلية الهجوم**
الكود الخبيث لا يُفعَّل عند الزيارة العادية للموقع، بل يعمل حصراً حين يُحمَّل الملف بينما يكون مشرف WordPress مسجّلاً دخوله. عند التفعيل:
- يستغل جلسة المشرف النشطة للعمل بصلاحيات كاملة.
- يُنشئ حساب مشرف جديداً تحت سيطرة المهاجم (يحمل أسماء مثل developer_api1).
- يثبّت إضافة مخفية لا تظهر في لوحة التحكم، تفتح واجهة تحكم عن بُعد (Web Shell).
- يُرسل بيانات الدخول الجديدة ومعلومات الموقع إلى النطاق المزيّف tidio[.]cc الذي سُجِّل في 28 أبريل، قبل أسابيع من الهجوم، مما يكشف عن تخطيط مسبق.
بمجرد توفّر واجهة الـ Web Shell، يستطيع المهاجم قراءة أي ملف أو تعديله، وسرقة قاعدة البيانات، وزرع كود سرقة بيانات البطاقات (Card Skimming)، أو تحويل الزوار إلى مواقع خبيثة.
**كيف اخترق المهاجم الأنظمة؟**
تقول PushEngage إن المهاجم استغل ثغرةً في إضافة النسخ الاحتياطي UpdraftPlus على خادم موقعها التسويقي، واستخرج منه مفتاح API الخاص بشبكة CDN. بهذا المفتاح تمكّن من تعديل الملفات المُسلَّمة للمواقع العميلة دون المساس بالأنظمة الأساسية. في المقابل، ترى Sansec أن نقطة الدخول لم تُحسم بعد، وتُشير إلى خوادم Awesome Motive أو حساب CDN كاحتمالات أرجح.
تجدر الإشارة إلى أن UpdraftPlus تأثّرت بثغرة تجاوز المصادقة CVE-2026-10795 التي صنّفها Wordfence بدرجة خطورة 8.1 (عالية)، وقد رُصدت هجمات تستغلها. الثغرة مُرقَّعة الآن، ويُنصح بالتحديث فوراً بصرف النظر عن علاقتها بهذا الاختراق.
**النطاق المحتمل**
تُشير Sansec إلى أن الإضافات الثلاث مجتمعةً قد تصل إلى أكثر من 1.2 مليون موقع، يمثّل OptinMonster وحده أكثر من مليون منها، فيما يبلغ عدد مواقع PushEngage نحو 9,000 موقع. هذا رقم النطاق الإجمالي، وليس عدد المواقع المخترقة فعلياً.
لماذا يهمّك
خطورة هذا الهجوم تكمن في تصميمه المتعمّد للتخفّي؛ فالباب الخلفي المُثبَّت لا يظهر في لوحة تحكم WordPress، وهذا يعني أن فحص الإضافات عبر الواجهة الإدارية غير كافٍ للكشف عنه. وحتى لو حذفت الإضافة الخبيثة وحساب المشرف المشبوه، فقد يظل المهاجم قادراً على الوصول عبر أبواب خلفية أخرى زرعها بفضل صلاحيات تنفيذ الكود.
توصيات
1. **افحص الخادم مباشرةً**: إن كنت تشغّل أياً من الإضافات الثلاث خلال الفترة الممتدة بين 12 و14 يونيو، أجرِ فحصاً على مستوى الخادم (Server-Side Scan)؛ الفحص عبر المتصفح أو لوحة التحكم لن يُغني. 2. **تحقق من الملفات على القرص**: ابحث في مجلد wp-content/plugins عن مجلدات باسم content-delivery-helper أو database-optimizer واحذفها. 3. **راجع حسابات المشرفين**: احذف أي حساب لم تنشئه بنفسك، لا سيما developer_api1 أو ما يشبه النمط dev_xxxxxx. 4. **راجع سجلات الخادم (Access Logs)**: ابحث عن أي حركة صادرة نحو النطاق tidio[.]cc أو عنوان IP 84.201.6.54 خلال الفترة من 12 إلى 14 يونيو UTC. 5. **غيّر كل بيانات الوصول**: في حال وجود أي مؤشر اختراق، غيّر كلمات مرور المشرفين ومفاتيح API وبيانات قاعدة البيانات والمفاتيح السرية (Salts) في ملف wp-config.php. 6. **حدّث UpdraftPlus** فوراً إن كنت تستخدمه، لسدّ ثغرة CVE-2026-10795.
