|
في عالم التجارة الإلكترونية الحديث لا يكفي أن تكون منصتك آمنة من الخارج فالأخطار قد تأتي من الداخل — من أدوات تثق بها إحدى أكثر الهجمات الرقمية دهاءً في السنوات الأخيرة كشفت عنها شركة Sansec حيث تعرّضت مئات مواقع التجارة الإلكترونية لاختراق صامت نائم استمر أكثر من ست سنوات
ما هو هجوم سلسلة التوريد؟ ولماذا يُعتبر من أخطر التهديدات الإلكترونية؟
هجوم سلسلة التوريد (Supply Chain Attack) هو نوع من الهجمات السيبرانية التي تستهدف المكونات البرمجية الوسيطة – مثل الإضافات (Extensions)، أو مكتبات الأكواد، أو مزودي الخدمات التقنية – بهدف إدخال برمجيات خبيثة إلى الأنظمة المستهدفة.
بعكس الهجمات التقليدية التي تستلزم اختراق كل موقع على حدة، فإن هذا النوع يضرب من الجذر: من خلال مزود موثوق يستخدمه آلاف العملاء، مما يُمكن المهاجم من التسلل إلى أنظمة متعددة دفعة واحدة. والأسوأ من ذلك؟ أن هذا النوع من الهجمات غالبًا ما يمرّ دون ملاحظة لفترات طويلة.
هجوم نائم لسنوات: عندما يختبئ الخطر في قلب النظام
وفقًا لتحقيقات Sansec، قام المهاجمون بزرع أبواب خلفية (Backdoors) داخل ملحقات مطورة من قبل ثلاثة من أشهر مزودي إضافات Magento: Tigren، Magesolution، وMeetanshi. هذه الملحقات المصابة وُزعت بشكل طبيعي، وتم تثبيتها في مئات المواقع الإلكترونية دون إثارة أي شكوك.
النتيجة؟ تسلل صامت إلى ما بين 500 و1,000 موقع تجارة إلكترونية، مع سرقة محتملة لمعلومات حساسة مثل بيانات بطاقات الدفع، في هجوم يُشبه أساليب Magecart المعروفة.
الشركات المستهدفة: ضربة لمنصات Magento
الثلاث شركات المستهدفة – Tigren، Magesolution، وMeetanshi – جميعها تُنتج إضافات شائعة الاستخدام لمنصة Magento، إحدى أشهر منصات التجارة الإلكترونية مفتوحة المصدر، التي استحوذت عليها شركة Adobe في 2018.
الهجوم استهدف سلسلة التوزيع نفسها، حيث تم زرع الشيفرة الخبيثة ضمن الإضافات قبل أن تصل إلى أيدي المستخدمين، ما يعني أن المتاجر الإلكترونية المصابة لم ترتكب أي خطأ مباشر.
الباب الخلفي: شيفرة بسيطة ذات أثر مدمّر
واحدة من أبرز سمات هذا الهجوم هي بساطة الكود الخبيث، الذي يبدأ بمحاولة تحميل ملف يُسمى $licenseFile، والذي يُطلق سلسلة من التعليمات البرمجية تؤدي إلى تنفيذ شفرة ضارة في خادم الموقع.
هذا النوع من الهندسة البرمجية يُظهر تطور الأساليب الخبيثة، حيث يُفضّل المهاجمون اليوم الاختراقات الصامتة الدقيقة على الأساليب التقليدية المباشرة.
منصة GoogleTagManager في دائرة الشبهات
التحقيقات كشفت أيضًا عن تلاعب محتمل بملحق Weltpixel GoogleTagManager، أحد الأدوات الشائعة في تتبع تحليلات الزوار في مواقع التجارة الإلكترونية. رغم أن الأدلة لم تؤكد إذا ما كانت أنظمة Weltpixel نفسها تعرضت للاختراق، إلا أن هذه الواقعة تثير الشكوك حول مدى أمان الاعتماد على إضافات شائعة دون تدقيق.
لماذا يُعتبر هذا الهجوم حالة استثنائية؟
| العنصر | التوصيف |
|---|---|
| مدة الكمون | أكثر من 6 سنوات، وهي فترة غير مسبوقة |
| عدد الضحايا | من 500 إلى 1,000 موقع إلكتروني |
| الجهة المستهدفة | سلسلة التوريد وليس الموقع مباشرة |
| طريقة التنفيذ | باب خلفي يتم تفعيله بشيفرة PHP خبيثة |
| النتيجة | تسريب بيانات حساسة مثل بطاقات الدفع |
رد فعل الشركات المتضررة: صدمة وغياب للشفافية
تقرير Sansec أشار إلى أن ردود الفعل من الشركات الثلاث لم تكن بالمستوى المتوقع. فبينما واصلت Tigren وMagesolution توزيع الإضافات المصابة رغم التحذيرات، لم تُصدر Meetanshi سوى اعتراف محدود دون بيان رسمي أو توضيحات.
هذا النوع من التكتّم يقوّض ثقة العملاء، ويُبرز خطرًا إضافيًا: أن غياب الشفافية بعد الاختراق لا يقل خطرًا عن الاختراق نفسه.
|
كيف تحمي متجرك من هجمات سلسلة التوريد؟
إذا كنت تدير متجرًا إلكترونيًا، فهذه الخطوات ضرورية:
- مراجعة شاملة لجميع الملحقات والإضافات المثبتة.
- استخدام أدوات فحص الثغرات مثل تلك التي تقدمها Sansec أو أدوات مشابهة.
- البحث عن مؤشرات شيفرة مثل $licenseFile في ملفات PHP.
- تحديث الإضافات والبرمجيات فقط من المصادر الرسمية والموثوقة.
- تفعيل مراقبة مستمرة لسجلات الأنشطة على الخادم.
دروس مستفادة: نحو بيئة تجارة إلكترونية أكثر أمانًا
لحماية أنظمتنا من هجمات مماثلة، لا بد من:
- تبنّي نموذج الثقة المعدومة (Zero Trust Model) في التعامل مع الأكواد والإضافات الخارجية.
- تنفيذ مراجعات أمنية دورية للملحقات قبل وبعد التثبيت.
- اختبار أنظمة الدفع باستمرار لرصد أي تسرب في البيانات.
- استخدام أدوات أمنية تعتمد على الذكاء الاصطناعي لاكتشاف التهديدات المحتملة قبل وقوعها.
الاسالة شائعة
ما هو هجوم سلسلة التوريد؟
هجوم يستهدف مزودي الخدمات أو الأدوات المستخدمة في تطوير البرمجيات، مما يسمح بنشر برمجيات خبيثة إلى العديد من الضحايا دفعة واحدة.
كيف يمكنني معرفة ما إذا كان موقعي مصابًا؟
تحقق من وجود ملفات مشبوهة أو استدعاءات مثل $licenseFile، وقم بمراجعة جميع الإضافات المثبتة مؤخرًا، خاصة تلك غير المحدثة من مصادر رسمية.
هل هجوم Magecart هو نفسه هذا الهجوم؟
الهجوم مشابه في الأسلوب والنتيجة، لكنه مختلف في المنهج؛ هجوم سلسلة التوريد يحدث من داخل سلسلة التوزيع، بينما Magecart غالبًا ما يعتمد على استغلال الثغرات في الموقع نفسه.
ما هي أدوات الحماية المقترحة؟
منصات مثل Sansec، Detectify، وSucuri تُعد أدوات ممتازة لفحص الثغرات الأمنية ومراقبة النشاط المشبوه.
اخر شي المعركة الصامتة لم تنتهِ بعد
ما كشفته Sansec ليس مجرد حادثة اختراق، بل جرس إنذار لأصحاب المتاجر الإلكترونية، المطورين، ومزودي البرمجيات على حد سواء. فهجوم نائم لسنوات ثم انفجار واحد يُصيب المئات يُثبت أن التهديدات الرقمية قد تكون خفية، ولكن أثرها مدوٍ.
لم يعد السؤال هو: "هل سنُخترق؟"
بل: "هل نحن مستعدون عندما يحدث ذلك؟"
