اختراق إضافة Smart Slider 3 لووردبريس ببرمجيات خبيثة

تعرضت إضافة ووردبريس الشهيرة Smart Slider 3 Pro لاختراق خطير أدى إلى نشر نسخة مفخخة ببرمجيات خبيثة عبر قنوات التحديث الرسمية، مما يهدد آلاف المواقع.

اكتشف خبراء الأمن السيبراني هجوماً معقداً استهدف نظام التحديثات الخاص بالإضافة المشهورة لإنشاء أشرطة التمرير في منصتي ووردبريس وجوملا. وقد أتاح هذا الاختراق للقراصنة توزيع برمجيات خطيرة على نطاق واسع.

كيف تم اختراق إضافة Smart Slider 3 Pro؟

تمكن قراصنة مجهولون من اختراق البنية التحتية لتحديثات شركة Nextend المطورة للإضافة. وقاموا بتوزيع إصدار خبيث بالكامل عبر القناة المخصصة لتحديثات العملاء الرسمية.

وفقاً لما رصده فريق تيكبامين، فإن الهجوم أثر تحديداً على الإصدار 3.5.1.35 من النسخة المدفوعة. وقد ظل هذا الإصدار الخبيث متاحاً للتحميل لمدة 6 ساعات متواصلة يوم 7 أبريل 2026.

أي موقع قام بتثبيت التحديث خلال تلك النافذة الزمنية الحرجة، تلقى حزمة أدوات وصول عن بُعد (RAT) مفخخة بالكامل، مما منح المهاجمين سيطرة تامة على الخادم.

ما هي خطورة البرمجيات الخبيثة المكتشفة؟

لا يعتبر هذا الهجوم مجرد ثغرة أمنية تقليدية، بل يمثل اختراقاً شاملاً لسلسلة التوريد. حيث قام المهاجمون بدمج أدوات تحكم عن بعد متطورة داخل التحديث الرسمي لتجاوز أنظمة الحماية.

أبرز قدرات النسخة المفخخة:

• إنشاء حسابات مدراء (Administrator) وهمية بصلاحيات كاملة.
• زرع أبواب خلفية (Backdoors) متعددة ومستقلة للوصول المستمر.
• تنفيذ أوامر النظام عن بُعد واستقبالها عبر ترويسات HTTP.
• تشغيل أكواد PHP عشوائية باستخدام معلمات طلب مخفية.
• إخفاء المستخدمين الوهميين بالكامل من لوحة تحكم ووردبريس.
• التسجيل التلقائي وتسريب بيانات الاعتماد إلى خوادم المهاجمين.

تعمل البرمجية الخبيثة عبر آليات معقدة ومتعددة المراحل لضمان بقائها داخل الخوادم المصابة. حيث تنشئ نقاط دخول احتياطية تضمن استمرار التحكم حتى في حال اكتشاف وحذف بعض الملفات المشبوهة.

هل تأثرت النسخة المجانية من إضافة ووردبريس؟

لحسن الحظ، أكدت التقارير التقنية أن النسخة المجانية من إضافة Smart Slider 3 لم تتأثر إطلاقاً بهذا الاختراق الأمني الخطير.

تمتلك النسخة المجانية أكثر من 800 ألف تثبيت نشط حول العالم، وجميعها في مأمن من هذه البرمجية الخبيثة. الهجوم استهدف حصرياً مستخدمي النسخة المدفوعة (Pro).

وقد سارعت الشركة المطورة إلى إيقاف خوادم التحديث بشكل مؤقت، وسحب النسخة الخبيثة فور اكتشاف الحادثة، مع فتح تحقيق تقني شامل في أسباب الاختراق وتداعياته.

خطوات الحماية وتأمين موقعك فوراً

يوصي موقع تيكبامين جميع مدراء المواقع الذين يستخدمون النسخة المدفوعة وقاموا بالتحديث خلال فترة الهجوم، باتخاذ إجراءات صارمة وفورية لحماية بياناتهم الحساسة.

الإجراءات التقنية المطلوبة:

• التحديث الفوري إلى الإصدار الآمن 3.5.1.36 من الإضافة لتنظيف الملفات.
• مراجعة قائمة مستخدمي ووردبريس وحذف أي حساب مدير غير معروف أو مشبوه.
• إجراء فحص شامل وعميق لملفات الموقع وقاعدة البيانات لاكتشاف أي آثار متبقية.
• تغيير جميع كلمات المرور الحساسة الخاصة بقاعدة البيانات، لوحة التحكم، وحسابات الاستضافة.

يُعد هذا الاختراق مثالاً كلاسيكياً وخطيراً على هجمات سلسلة التوريد التي تجعل أنظمة الحماية الجدارية غير فعالة. عندما يتم تسليم البرمجيات الخبيثة عبر قناة تحديث موثوقة، تصبح الإضافة نفسها هي الفيروس المخترق للنظام.

يؤكد خبراء الأمن السيبراني أن أساليب الحماية التقليدية، مثل التحقق من الصلاحيات والتحكم في الوصول المعتمد على الأدوار، تفشل تماماً أمام هذا النوع من الهجمات المتقدمة، مما يحتم على مدراء الأنظمة وضع استراتيجيات أكثر شمولية لمراقبة سلامة الملفات.