كشفت Wordfence، إحدى أبرز شركات الأمن السيبراني المتخصصة في حماية مواقع ووردبريس، وصاحبة إضافة الحماية الأشهر في مستودع ووردبريس، عن حملة اختراق خبيثة شديدة التعقيد تستهدف مواقع ووكومرس منذ سبتمبر 2023، مستخدمةً تقنيات متقدمة للتخفي وجمع البيانات.
أظهرت نتائج التحقيق أن هذه البرمجية تنتمي إلى عائلة متطورة من البرمجيات الخبيثة تتضمن أكثر من 20 نموذجًا، وتستهدف تحديدًا صفحات الدفع في المتاجر الإلكترونية، بينما تتجنب لوحات تحكم إدارة ووردبريس لضمان بقاءها غير مكتشفة.
أخطر ما يميز هذه البرمجيات هو أنها تزرع لوحة تحكم خلفية مباشرة داخل المواقع المصابة، متنكرة في شكل إضافات ووردبريس مزيفة، مثل إضافة باسم "WordPress Core"، تتيح للمهاجمين إدارة البيانات المسروقة وتعديل طلبات الشراء.
تعتمد هذه البرمجيات على تقنيات تمويه معقدة، مثل إعادة ربط أدوات المطور، وحظر اختصارات المتصفح مثل F12 وCtrl+Shift+I، وحتى استخدام حلقات لامتناهية لتعطيل أدوات تحليل الكود المصدري، كما تقوم بتغيير سلوكها إذا رصدت فتح أدوات المطور، عبر مقارنة قياسات نافذة المتصفح.
تُشفّر المعلومات المسروقة كبيانات الدفع، باستخدام ترميز Base64 وتُرسلها عبر روابط صور مزيفة إلى خوادم يسيطر عليها المهاجمون، كما سُجلت حالات تُستخدم فيها واجهات مزيفة تشبه اختبارات التحقق من شركة Cloudflare، وأحيانًا تتكامل مع قنوات تيليجرام لنقل البيانات لحظيًا.
أصدرت Wordfence سجلات كشف جديدة في 15 يونيو 2025 لمستخدمي خطط Premium وCare وResponse، في حين ستتوفر هذه السجلات لمستخدمي النسخة المجانية بعد 30 يومًا. وتؤكد الشركة أن أدواتها قادرة على رصد أكثر من 99٪ من العينات المعروفة حاليًا.
ننصح أصحاب مواقع ووكومرس بمراجعة الإضافات المثبتة والتحقق من الأنشطة المشبوهة، وعمل جميع التحديثات اللازمة بشكل دائم ودوري.
أحمد الحسين
29 يونيو، 2025