ثغرة Magecart: هل يفشل Claude Code في اكتشافها؟

اكتشاف هجمات Magecart الخبيثة أصبح تحدياً أمنياً معقداً، خاصة عندما تخفي البرمجيات الخبيثة نفسها داخل بيانات EXIF للصور المحملة ديناميكياً. هل أدوات التحليل الثابت مثل Claude Code Security قادرة على اكتشاف هذه التهديدات؟ الإجابة قد تفاجئك.

ما هي هجمات Magecart وكيف تعمل؟

هجمات Magecart هي نوع متطور من الهجمات السيبرانية التي تستهدف مواقع التجارة الإلكترونية. هذه الهجمات لا تبحث عن ثغرات في الكود المصدري للموقع، بل تتسلل عبر سلسلة التوريد.

البرمجية الخبيثة تصل عادة عبر أصول طرف ثالث مخترقة:

• مديرات العلامات (Tag Managers)
• أدوات الدفع وال checkout
• أدوات التحليلات
• السكربتات المحملة من CDN
• الصور المحملة في المتصفح

لماذا يفشل Claude Code Security في اكتشافها؟

المنظمة الضحية لم تكتب هذا الكود الخبيث، ولا تراجعه في طلبات السحب، وغالباً لا يوجد في مستودعها أصلاً. هذا يعني أن أدوات التحليل الثابت المستندة إلى المستودع، مثل Claude Code Security، محدودة بطبيعتها في هذا السيناريو.

حسب تيكبامين، هذه الأداة يمكنها فقط تحليل ما يوجد في المستودع أو ما تطعمه إياه بشكل صريح. أي skimmer يعيش حصرياً في موارد طرف ثالث معدلة أو ثنائيات محملة ديناميكياً في الإنتاج لن يدخل أبداً في نطاق رؤيتها.

الحدود الفنية بين التحليل الثابت وال runtime

هذا ليس خطأ في المنتج، بل هو عدم تطابق في النطاق. Claude Code Security مصمم للتحليل الثابت للكود المصدري، بينما هجمات Magecart تحدث في وقت التشغيل في متصفح العميل.

كيف تخفي البرمجية الخبيثة نفسها؟

البرمجية الخبيثة الحديثة استخدمت سلسلة محمل من ثلاث مراحل لإخفاء حمولتها:

• المرحلة الأولى: stub يحمل سكربت من ما يبدو كعنوان CDN شرعي لشركة Shopify
• المرحلة الثانية: السكربت المحمل يبني عنوان URL خبيث باستخدام مصفوفات مفهرسة مبهمة
• المرحلة الثالثة: retrieving favicon كبيانات ثنائية واستخراج payload من EXIF metadata

بعد فك التشفير، يظهر أن العنوان يشير إلى //b4dfa5[.]xyz/favicon.ico. ما يحدث بعد ذلك هو المثير للاهتمام حقاً: السكربت يسترجع favicon كبيانات ثنائية، يحلل بيانات EXIF لاستخراج سلسلة خبيثة، ثم ينفذها عبر new Function().

لماذا هذه التقنية خطيرة؟

الحمولة تعيش داخل بيانات التعريف الخاصة بالصورة، مما يجعلها غير مرئية لأي شيء لا يراقب المتصفح في وقت التشغيل. هذا يعني:

• لا يمكن للماسحات الضوئية للمستودع اكتشافها
• لا تظهر في كود المصدر للموقع
• تنفذ بالكامل في متصفح المتسوق عند الدفع
• غير مرئية لأدوات التحليل الثابت التقليدية

ما الحل؟ المراقبة في وقت التشغيل

التحليل التفصيلي لحدود Claude Code Security وما تغطيه المراقبة في وقت التشغيل متاح الآن. الحل يكمن في دمج أدوات متعددة:

• التحليل الثابت: للكود المصدري الخاص بك
• مراقبة Runtime: للسكربتات المحملة ديناميكياً
• مراقبة السلوك: لاكتشاف الأنشطة المشبوهة في المتصفح
• Content Security Policy: لتقييد السكربتات الخارجية

كما ذكر تيكبامين، الحماية الشاملة تتطلب نهجاً متعدد الطبقات يجمع بين التحليل الثابت للكود المصدري والمراقبة النشطة لسلوك التطبيق في وقت التشغيل. هجمات Magecart الحديثة تثبت أن المهاجمين يبتكرون باستمرار طرقاً جديدة لإخفاء برمجياتهم الخبيثة خارج نطاق أدوات الأمن التقليدية.