مُخفِّف WebRTC
اكتشف باحثو الأمن السيبراني برنامجًا متطورًا لسرقة بيانات الدفع يستغل قنوات بيانات WebRTC لاسترجاع حمولات خبيثة وسرقة البيانات الحساسة خلسةً. وعلى عكس برامج السرقة التقليدية التي تعتمد على طلبات HTTP أو إشارات الصور، يعمل هذا النوع خارج أنماط حركة مرور الويب المعتادة، مما يُعقّد جهود الكشف عنه بشكل كبير.
جدول المحتويات
نقطة دخول الاستغلال: ثغرة PolyShell
تم تتبع مسار الهجوم إلى استغلال ثغرة PolyShell، وهي ثغرة أمنية خطيرة تؤثر على منصتي Magento Open Source وAdobe Commerce. تسمح هذه الثغرة للمهاجمين غير المصرح لهم بتحميل ملفات تنفيذية عشوائية عبر واجهة برمجة تطبيقات REST، مما يؤدي في النهاية إلى تنفيذ كامل للتعليمات البرمجية عن بُعد.
منذ 19 مارس 2026، تم استغلال هذه الثغرة الأمنية على نطاق واسع. وقد رُصدت أكثر من 50 عنوان IP تقوم بعمليات مسح، حيث اكتشف الباحثون اختراقات متعلقة ببرنامج PolyShell الخبيث في حوالي 56.7% من المتاجر الإلكترونية المعرضة للخطر.
آليات الهجوم: WebRTC كقناة خفية
يعمل برنامج التجسس كبرنامج نصي ذاتي التنفيذ مُدمج داخل مواقع الويب المخترقة. عند تشغيله، يُنشئ اتصال WebRTC مع عنوان IP مُبرمج مسبقًا (202.181.177.177) عبر منفذ UDP رقم 3479. ومن خلال هذه القناة، يسترجع البرنامج شيفرة جافا سكريبت خبيثة إضافية، تُحقن مباشرةً في صفحة الويب لجمع بيانات الدفع.
تشمل الخصائص الرئيسية لهذه التقنية ما يلي:
- استخدام قنوات بيانات WebRTC بدلاً من الاتصال التقليدي القائم على بروتوكول HTTP
- الاسترجاع والتنفيذ الديناميكي للبرامج النصية الخبيثة
- حقن مباشر في صفحات الويب التي تعالج معلومات الدفع
التهرب الأمني: تجاوز الدفاعات التقليدية
يمثل هذا النهج تقدماً ملحوظاً في تقنيات الاختراق نظراً لقدرته على تجاوز ضوابط الأمان واسعة الانتشار. ولا تُجدي سياسة أمان المحتوى (CSP)، التي يُعتمد عليها غالباً لتقييد الاتصالات الصادرة غير المصرح بها، في التخفيف من هذا التهديد بشكل فعال.
حتى البيئات ذات إعدادات موفر خدمة السحابة الصارمة التي تحظر جميع حركة مرور HTTP غير المصرح بها تظل عرضة للاختراق. تعمل حركة مرور WebRTC عبر بروتوكول UDP المشفر بتقنية DTLS بدلاً من HTTP، مما يجعلها غير مرئية للعديد من أدوات مراقبة الشبكة وفحصها. ونتيجة لذلك، يمكن لبيانات الدفع المسربة تجاوز عملية الكشف تمامًا.
توافر التحديثات والتدابير الدفاعية
قامت شركة Adobe بمعالجة ثغرة PolyShell الأمنية في الإصدار 2.4.9-beta1، الذي تم إصداره في 10 مارس 2026. ويُعد التحديث الفوري أمرًا بالغ الأهمية لمنع استغلال هذه الثغرة.
لتقليل التعرض والكشف عن أي اختراق محتمل، يوصى بشدة باتخاذ التدابير التالية:
تقييد الوصول إلى الدليل pub/media/custom_options/
قم بإجراء عمليات فحص شاملة بحثًا عن برامج التجسس الإلكترونية، والأبواب الخلفية، وغيرها من البرامج الضارة.
الآثار الاستراتيجية لأمن التجارة الإلكترونية
يُبرز ظهور تقنيات التجسس القائمة على بروتوكول WebRTC تحولاً نحو أساليب تهرب أكثر تطوراً على مستوى البروتوكول. يجب على المؤسسات التي تُشغّل منصات التجارة الإلكترونية توسيع استراتيجياتها الدفاعية لتتجاوز المراقبة التي تركز على بروتوكول HTTP، وأن تُدمج فحصاً أعمق لقنوات الاتصال غير التقليدية لمواجهة التهديدات المتطورة بفعالية.
