هجوم WebRTC جديد يستهدف متاجر التجارة الإلكترونية ويسرق بيانات الدفع عبر قنوات بيانات مشفرة، ما يهدد سلامة عمليات الشراء.
ما هو هجوم WebRTC الجديد على متاجر التجارة الإلكترونية؟
كشف باحثون أمنيون عن سكيمنج للدفع يعتمد على قنوات بيانات WebRTC لاستلام الحمولة وتهريب البيانات بدل طلبات HTTP التقليدية. وحسب تيكبامين، هذا النهج يجعل السارق يعمل داخل المتصفح دون تنبيهات واضحة لأدوات الفحص المعتادة.
السكيمر يستهدف صفحات الدفع مباشرة، ويحقن شيفرة JavaScript لنسخ بيانات الدفع قبل إرسالها لخادم الموقع. النتيجة أن الزبون يكمل الشراء بينما تُسرب البيانات بهدوء.
الاستهداف طال متجر شركة سيارات كبيرة، وهو مؤشر على أن المهاجمين يفضلون مواقع ذات حركة شراء عالية لتجميع أكبر قدر من بيانات العملاء بسرعة. وتتزايد المخاطر مع المواسم الشرائية.
كيف يعمل السكيمر خطوة بخطوة؟
البرمجية عبارة عن سكربت ذاتي التنفيذ ينشئ اتصال نظير إلى نظير مع عنوان IP ثابت 202.181.177.177 عبر منفذ UDP 3479. بعدها تُحمّل الشيفرة الخبيثة وتُدرج داخل الصفحة لتجميع حقول الدفع.
- إنشاء اتصال نظير إلى نظير عبر WebRTC
- تحميل حمولة JavaScript خبيثة من الخادم
- حقن الشيفرة داخل صفحة الدفع
- تهريب بيانات البطاقات عبر القناة
كيف استغل المهاجمون ثغرة PolyShell في ماجنتو؟
الهجوم تمكّن عبر ثغرة PolyShell التي تضرب Magento Open Source وAdobe Commerce وتسمح برفع ملفات تنفيذية عبر REST API دون مصادقة. هذا يمنح المهاجم تنفيذ أوامر كامل على الخادم.
منذ 19 مارس 2026 ارتفع الاستغلال بشكل واسع، مع أكثر من 50 عنوان IP في نشاط المسح. وتم رصد الهجمات على 56.7% من المتاجر الضعيفة.
ما مدى انتشار الاستغلال حتى الآن؟
- بداية الاستغلال: 19 مارس 2026
- عدد عناوين المسح: أكثر من 50 IP
- نسبة المتاجر المتأثرة: 56.7%
هذا الانتشار السريع يوضح أن المتاجر غير المحدثة باتت هدفاً مباشراً، وأن إغلاق الثغرة دون مراقبة قد لا يكفي.
لماذا يتجاوز WebRTC سياسة أمن المحتوى CSP؟
تكمن الخطورة في أن WebRTC يتجاوز قيود سياسة أمن المحتوى CSP حتى لو كانت صارمة. القنوات تعمل عبر UDP مع تشفير DTLS، لذلك تفلت من أدوات تفتيش HTTP.
ولأن القنوات تعمل فوق DTLS المشفر، لا تستطيع أنظمة المراقبة التي تعتمد على تحليل HTTP رؤية البيانات الخارجة أو تمييزها كتهريب.
ما الذي يجعل رصد التسريب أصعب؟
- التبادل يتم عبر UDP وليس HTTP
- التشفير يمنع فحص المحتوى
- القناة لا تظهر ضمن قواعد CSP
ما الخطوات العاجلة لحماية بيانات الدفع؟
أصدرت Adobe تصحيحاً في نسخة 2.4.9-beta1 بتاريخ 10 مارس 2026، لكن التحديث لم يصل للإصدارات الإنتاجية بعد. هذا يترك الكثير من المتاجر معرضة مؤقتاً.
يوصى مالكو المتاجر بإغلاق المسار pub/media/custom_options/ أمام الوصول المباشر وفحص الخوادم بحثاً عن شِلّات ويب أو أبواب خلفية، خصوصاً في صفحات الدفع الحساسة. كما ينصح بعزل خوادم الإدارة قدر الإمكان.
- تحديث Magento وAdobe Commerce فور توفره
- فحص ملفات JavaScript والواجهات الحساسة
- تفعيل مراقبة الشبكة لسلوك WebRTC
وتؤكد تيكبامين أن مواجهة هجوم WebRTC تتطلب مراقبة سجلات الشبكة وفحص ملفات الويب باستمرار، مع تدريب الفرق على رصد أي سلوك غير معتاد. التحرك المبكر يقلل خسائر بيانات الدفع ويحمي سمعة المتجر.
