2025 年 أغسطس، قام أحد المشترين الذي يعرّف عن نفسه باسم «Kris» بزرع قنبلة توقيت داخل 191 سطرًا من الكود؛ بعد 8 أشهر انفجرت، وتمت مراسلة C2 متجاوزةً الحظر. مصدر هذه المقالة هو تقرير الباحث في مجال الأمن Austin Ginder.
(ملخص سابق: BTC يصدم 75 ألف دولار! ارتفاع ETH إلى 2400، وفانز يُشير إلى أن محادثات الولايات المتحدة مع إيران حققت «تقدمًا كبيرًا»، وتقرر مشاورة ثانية في 16 يومًا بشكل مبدئي)
(معلومات إضافية عن الخلفية: رسالة علنية من مؤسس Gate الدكتور Han بمناسبة الذكرى الثالثة عشرة: في تبدّل الدورات، إطلاق قوة التغيير)

فهرس المحتوى

Toggle

191 سطرًا، عبارة «تحديث التوافق»
wp-config.php تمت كتابته بكود خبيث بحجم 6KB
هذه ليست المرة الأولى، ولن تكون الأخيرة
مشكلة مؤسسية وليست مشكلة تقنية
أغلقت WordPress.org خلال يوم واحد أكثر من 30 إضافة

ثلاثون إضافة، فترة كمون مدتها ثمانية أشهر، وخوادم C2 تُحدَّث ديناميكيًا عبر عقود ذكية على Ethereum. في أوائل أبريل 2026، أغلقت WordPress.org أكثر من 30 إضافة ضمن يوم عمل واحد فقط، بلغ إجمالي عدد عمليات التثبيت بالملايين. والأكثر صدمة هو أن الخلفية (backdoor) كانت تعمل بالفعل منذ 8 أغسطس 2025، أي قبل 243 يومًا كاملة من اكتشافها.

191 سطرًا، عبارة «تحديث التوافق»

أعد عقارب الساعة إلى الوراء إلى عام 2015. فريق هندي يُدعى WP Online Support (ثم غيّر اسمه لاحقًا إلى Essential Plugin) تأسسه كل من Minesh Shah وآخرين من ثلاثة أشخاص. خلال عقد من الزمن، راكموا خط منتجات يشمل أكثر من 30 إضافة. وبحلول نهاية 2024، كانت الإيرادات قد تراجعت بنسبة 35 إلى 45% مقارنةً بذروتها، فاختار الفريق إدراجها للبيع عبر Flippa.

كان المشتري شخصًا تتقاطع خلفيته مع التسويق عبر SEO والعملات المشفرة والمقامرة عبر الإنترنت، ويعرّف عن نفسه خارجيًا باسم «Kris». في 8 أغسطس 2025 تم إطلاق النسخة 2.6.7، ولم يكتب changelog سوى أربعة أحرف: «تحديث التوافق».

التغيير الفعلي هو أن ملف class-anylc-admin.php توسّع من السطر 473 إلى 664 سطرًا، وأضاف 191 سطرًا من كود الخلفية (backdoor). هذه هي أول عملية commit لـ Kris في SVN.

لم تبدأ الخلفية (backdoor) بالعمل فورًا. ظلت خاملة حتى 5–6 أبريل 2026، ثم بدأت المرحلة الأولى: وحدة wpos-analytics ترسل طلبًا لاستدعاء (回呼) إلى analytics.essentialplugin.com، وتحمل ملفًا مسمى wp-comments-posts.php. تحاكي عمدًا ملف wp-comments-post.php في جوهر WordPress، مع اختلاف حرف واحد فقط.

تمت كتابة wp-config.php بكود خبيث بحجم 6KB

في 6 أبريل 2026 الساعة 04:22 بالتوقيت العالمي UTC بدأت عملية الحقن؛ وفي الساعة 11:06 بالتوقيت العالمي UTC كان wp-config.php قد تم كتابته بالكامل على المواقع المصابة في جميع أنحاء العالم. خلال 6 ساعات و44 دقيقة، لم تُفعَّل أي إنذارات على مستوى المنصات.

يقوم كود الحقن الخبيث بأمرين: أولهما إدخال روابط خارجية غير مرغوبة، لكن فقط يتم عرضها على User-Agent الخاص بـ Googlebot، بينما تظهر الصفحات التي يراها الزوار العاديون ومديرو المواقع طبيعية تمامًا؛ وثانيهما فتح نقطة نهاية REST API غير مُشترطة للتوثيق (permission_callback: __return_true)، مقترنةً بدالة PHP لفك التسلسل fetch_ver_info()، لتشكيل مسار تنفيذ عن بُعد لاستدعاء أي دالة.

ومع ذلك، فإن تفاصيل التصميم التي تستحق التوثيق لا تكمن في عملية الحقن نفسها، بل في آلية الالتفاف على البنية التحتية لـ C2: يقوم المهاجم بكتابة منطق تحليل (توجيه) نطاق C2 داخل عقد ذكي على Ethereum، ثم تستعلم الخلفية (backdoor) عبر عقد RPC العامة لسلسلة الكتل عن أحدث توجيه.

قوائم الحظر التقليدية في أمن المعلومات وعمليات حظر DNS لهذه البنية غير فعالة تمامًا؛ يحتاج المهاجم فقط إلى تحديث العقد، وسيتم تبديل C2 الخاص بجميع المواقع المصابة في العالم تلقائيًا دون الحاجة إلى ملامسة أي خوادم يتم التحكم بها.

هذه ليست المرة الأولى، ولن تكون الأخيرة

في عام 2017، اشترى Daley Tias إضافة Display Widgets بعدد تنزيلات/تثبيتات يبلغ 200 ألف مقابل 15 ألف دولار، وقام بزرع روابط غير مرغوبة من نوع القروض، ثم امتد الأمر لاحقًا ليؤثر على ما لا يقل عن 9 إضافات. بعد تلك الواقعة، لم تقدم WordPress.org آلية فحص إجباري لانتقال ملكية الإضافات؛ ولم يتم تفعيل فحص إضافي يدوي أو آلي عند أول تقديم من committer جديد؛ كما لم يتم إرسال إشعار إلى المستخدمين المثبتين بأن «الملكية قد انتقلت» إلى إضافة أخرى.

بعد تسع سنوات، كانت العملية نفسها تمامًا. أكمل Kris عملية الاستحواذ، وحصل على صلاحيات إرسال commits في SVN، وكان أول commit هو الخلفية (backdoor)، وبشكل كامل ضمن الامتثال.

مشكلة مؤسسية وليست مشكلة تقنية

لم تستخدم هذه الواقعة أي ثغرة يوم-صفر (zero-day). جودة كود الخلفية (backdoor) كانت متواضعة؛ داخل 191 سطرًا لا توجد أي تقنيات معقدة أو مبهمة بشكل ذكي. إن قدرتها على التمويه 243 يومًا لم تعتمد على مهارات تقنية، بل على الغياب الكامل لسلسلة حيازة الملكية ضمن سوق إضافات WordPress.org.

يُعد تحليل نطاق C2 عبر عقد ذكية على Ethereum أمرًا يضيف طبقة تصميم تستحق النقاش من ناحية البنية التقنية، لكن ذلك فقط يجعل مهمة التنظيف أكثر تعقيدًا، وليس السبب الذي سمح بحدوث الهجوم. السبب الذي سمح بحدوث الهجوم هو أن المنصة تتيح لأي شخص شراء إضافة، ودفع تحديث، دون الحاجة إلى شرح لأي شخص ما الذي تتوافق معه عبارة «تحديث التوافق» المكتوبة في changelog.

أغلقت WordPress.org خلال يوم واحد أكثر من 30 إضافة

في 7 أبريل 2026، أغلق فريق الإضافات في WordPress.org نهائيًا جميع الإضافات التابعة لمؤلف Essential Plugin. ما لا يقل عن 30 إضافة، تم إغلاقها كلها في اليوم نفسه. فيما يلي الإضافات التي أكدها Austin Ginder:

Accordion and Accordion Slider — accordion-and-accordion-slider
Album and Image Gallery Plus Lightbox — album-and-image-gallery-plus-lightbox
Audio Player with Playlist Ultimate — audio-player-with-playlist-ultimate
Blog Designer for Post and Widget — blog-designer-for-post-and-widget
Countdown Timer Ultimate — countdown-timer-ultimate
Featured Post Creative — featured-post-creative
Footer Mega Grid Columns — footer-mega-grid-columns
Hero Banner Ultimate — hero-banner-ultimate
HTML5 VideoGallery Plus Player — html5-videogallery-plus-player
Meta Slider and Carousel with Lightbox — meta-slider-and-carousel-with-lightbox
Popup Anything on Click — popup-anything-on-click
Portfolio and Projects — portfolio-and-projects
Post Category Image with Grid and Slider — post-category-image-with-grid-and-slider
Post Grid and Filter Ultimate — post-grid-and-filter-ultimate
Preloader for Website — preloader-for-website
Product Categories Designs for WooCommerce — product-categories-designs-for-woocommerce
Responsive WP FAQ with Category — sp-faq
SlidersPack – All in One Image Sliders — sliderspack-all-in-one-image-sliders
SP News And Widget — sp-news-and-widget
Styles for WP PageNavi – Addon — styles-for-wp-pagenavi-addon
Ticker Ultimate — ticker-ultimate
Timeline and History Slider — timeline-and-history-slider
Woo Product Slider and Carousel with Category — woo-product-slider-and-carousel-with-category
WP Blog and Widgets — wp-blog-and-widgets
WP Featured Content and Slider — wp-featured-content-and-slider
WP Logo Showcase Responsive Slider and Carousel — wp-logo-showcase-responsive-slider-slider
WP Responsive Recent Post Slider — wp-responsive-recent-post-slider
WP Slick Slider and Image Carousel — wp-slick-slider-and-image-carousel
WP Team Showcase and Slider — wp-team-showcase-and-slider
WP Testimonial with Widget — wp-testimonial-with-widget
WP Trending Post Slider and Widget — wp-trending-post-slider-and-widget

عرض المصدر

إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى إخلاء المسؤولية.