هجوم سلسلة التوريد يضرب إضافات وردبريس المدفوعة

هجوم سلسلة التوريد استهدف إضافات وردبريس Pro من ShapedPlugin، بعد اختراق قناة التحديث الرسمية وحقن شيفرة خلفية شديدة الخطورة.

ما هو هجوم سلسلة التوريد على إضافات وردبريس؟

الواقعة طالت عدداً من إضافات ShapedPlugin المدفوعة، وتحديداً النسخ التي جرى توزيعها عبر نظام التحديث المرتبط بحسابات العملاء. أما الإصدارات المجانية المنشورة عبر WordPress.org فلم تتأثر بحسب المعطيات المتاحة.

الخطورة هنا أن المستخدمين لم يثبتوا ملفات من مصادر مجهولة، بل تلقوا التحديثات من القناة الرسمية نفسها. وهذا يجعل هجوم سلسلة التوريد أكثر تعقيداً، لأنه يضرب الثقة في آلية البناء والتوزيع قبل أن يصل الملف إلى الموقع المستهدف.

لماذا يعد الهجوم استثنائياً؟

وفقاً لما رصده باحثون أمنيون، يبدو أن المهاجمين تمكنوا من العبث بخط البناء أو التوزيع، ثم دفعوا إصدارات ملوثة إلى العملاء المرخّصين. هذا السيناريو يعني أن التحديث الشرعي تحول إلى بوابة لإدخال برمجية خبيثة بصلاحيات عالية داخل لوحة تحكم وردبريس.

• الاستهداف شمل إضافات Pro فقط.
• قناة التحديث الرسمية كانت نقطة العبور الأساسية.
• المشكلة لا تتعلق بمتجر WordPress.org للإضافات المجانية.

كيف تعمل البرمجية الخبيثة داخل الموقع؟

النسخ المصابة تضمنت محملاً برمجياً يعمل عند فتح أي صفحة إدارية داخل وردبريس. بعدها يتصل بخادم خارجي لجلب حمولة إضافية، ثم يثبتها كإضافة مزيفة ويقوم بتفعيلها تلقائياً.

بعد التفعيل، ترسل البرمجية اسم النطاق المصاب إلى الخادم البعيد، ثم تحذف بعض آثارها لتصعّب الاستجابة للحادث. كما تخفي الإضافة المزيفة نفسها من قائمة الإضافات داخل لوحة التحكم، ما يمنح المهاجمين وقتاً أطول قبل اكتشاف الاختراق.

• التشغيل يتم من صفحات الإدارة.
• تحميل حمولة جديدة يتم عن بُعد.
• الإضافة الوهمية تختبئ من قائمة Plugins.
• إخفاء الأثر جزء من آلية الهجوم.

ما المخاطر التي يسببها هجوم سلسلة التوريد هذا؟

المخاطر لا تتوقف عند الوصول الأولي فقط. البرمجية قادرة على التقاط بيانات الاعتماد بنص واضح، بما في ذلك رموز التحقق الثنائي 2FA، وهو ما يرفع احتمالات السيطرة الكاملة على المواقع وحسابات المشرفين.

كما أنها تنشئ وسائل بقاء متعددة داخل الخادم، من بينها نقطة REST مخصصة تسمح بكتابة ملفات عشوائية عند تمرير رمز مصادقة محدد، إلى جانب إسقاط Web Shell يدعم تنفيذ الأوامر. وذكرت تيكبامين أن هذا النوع من الهجمات قد يفتح الباب أمام سرقة البيانات أو استخدام الموقع المصاب كنقطة انطلاق لهجمات أخرى.

• سرقة كلمات المرور وبيانات الدخول.
• التقاط رموز التحقق الثنائي 2FA.
• إنشاء آليات بقاء دائمة داخل الموقع.
• إمكانية تنفيذ أوامر عبر Web Shell.

ماذا يجب على أصحاب مواقع وردبريس فعله الآن؟

الحادث مرتبط أيضاً بمعرفي CVE-2026-49777 وCVE-2026-10735، مع درجات خطورة مرتفعة جداً وصلت إلى الحد الأقصى في إحدى الحالات. لذلك فإن أي موقع ثبت تحديثات Pro متأثرة يحتاج إلى تعامل فوري، لا إلى انتظار الأعراض.

خطوات الاستجابة الموصى بها

• فحص جميع إضافات ShapedPlugin Pro المثبتة خلال الفترة الأخيرة.
• إعادة تعيين كلمات مرور المشرفين وحسابات الاستضافة وقواعد البيانات.
• تغيير مفاتيح الجلسات والرموز السرية إن أمكن.
• البحث عن إضافات مخفية أو ملفات غير معتادة داخل الخادم.
• مراجعة السجلات لرصد أي اتصالات أو أوامر مشبوهة.

أكدت الشركة أنها تراجع آليات الإصدار والتوزيع قبل طرح نسخ جديدة بعد اختبارات أمنية موسعة. وبالنسبة للمتابعين عبر تيكبامين، تبقى القاعدة الأهم هنا واضحة: إذا كنت من مستخدمي هذه الإضافات، فتعامل مع هجوم سلسلة التوريد كحادث اختراق محتمل يتطلب تدقيقاً شاملاً فوراً.