اكتشف باحثو الأمن السيبراني نوعًا جديدًا من البرمجيات الخبيثة يحمل اسم "WP-antymalwary-bot.php"، يتخفى على هيئة إضافة ووردبريس نظامية بهدف إصابة المواقع ومنح المهاجمين تحكمًا كاملاً بها.
حيث وجد فريق إضافة Wordfence أنها تقلد نفس هيكلية الإضافات الموثوقة في ووردبريس، وتحتوي على بيانات وصفية مزيفة، لكن الأخطر هو احتواءها على إمكانيات تتيح تنفيذ أوامر حساسة في خلفية الموقع.
من بين أبرز هذه الوظائف هي emergency_login_all_admins، والتي تسمح للمهاجمين بالدخول كمدراء للموقع باستخدام كلمة مرور محددة مسبقًا عبر طلب GET، بالإضافة إلى وظيفة "execute_admin_command" التي تتيح تنفيذ أوامر من خلال واجهة برمجة التطبيقات REST API بدون أي تحقق من الصلاحيات.
وسيلة خفية لإعادة التثبيت
تتجاوز خطورة البرمجية مجرد الدخول غير المشروع للموقع، إذ تحتوي على آلية لإعادة تثبيت نفسها تلقائيًا في حال حذفها، من خلال تعديل ملف "wp-cron.php"، مما يسمح بتفعيل الإضافة الخبيثة كلما زار المستخدم الموقع، وبالتالي تبقى كمصدر تهديد دائم.
ترتبط البرمجية بسيرفر في قبرص، ترسل إليه عنوان الموقع المُصاب وتوقيت كل وصول للموقع بشكل منتظم، حيث تُستخدم هذه البيانات لبناء قاعدة معلومات عن المواقع المصابة، حيث أصبحت النسخ الأحدث من البرمجية أكثر تطورًا، مثل إضافة خصائص تسمح بإدارة الإعلانات عن بُعد، مما يشير إلى وجود تطوير مستمر لها.
مؤشرات الإصابة بالبرمجية وطرق الوقاية
رصدت Wordfence عدة مؤشرات على الإصابة من بينها:
- طلبات GET غير متوقعة تحتوي على check_plugin أو emergency_login
- ملفات wp-cron.php معدّلة
- حقن أكواد ضارة في ملفات رأس القوالب
- ظهور إعلانات JavaScript من روابط مُشفّرة
ولحماية المواقع من التهديد، ينصح خبراء الحماية بـ:
- مراجعة الإضافات والقوالب بشكل دوري
- تعطيل ميزة تعديل ملفات القوالب والإضافات من لوحة التحكم
- استخدام كلمات مرور قوية وتفعيل المصادقة الثنائية
- الاعتماد على نسخ احتياطية خارجية وأدوات حماية موثوقة
فمع استمرار تطوير هذا النوع من التهديدات وتزايدها، لا بد من إعطاء أهمية أكبر للأمان، واستخدام أفضل إضافات الحماية في موقعك.
أحمد الحسين
30 أبريل، 2025