حادث أمني: تم التلاعب بالبرنامج النصي الذي تم تقديمه عبر PushEngage

ملخص

نحن نستجيب لحادث أمني يؤثر على PushEngage. تمكن مهاجم من الوصول إلى بيانات اعتماد لشبكة توصيل المحتوى (CDN) الخاصة بنا واستخدمها لتقديم نسخة معدلة من ملف JavaScript التي تقدمها هذه المنتجات لمواقع العملاء. لفترة محدودة، قامت المواقع التي تدمج برنامجنا النصي بتحميل هذا الملف المعدل مباشرة من شبكة توصيل المحتوى الخاصة بنا.

تم تنشيط الكود الخبيث فقط لمسؤولي WordPress المسجلين للدخول. عندما تم تشغيله على موقع متأثر، حاول إنشاء حساب مسؤول مخفي وتثبيت إضافة باب خلفي مخفي، ثم أرسل البيانات إلى خادم يتحكم فيه المهاجم. لم يكن زوار الموقع العاديون مستهدفين، ولكن نظرًا لأن الكود يمكن أن يمنح المهاجم السيطرة على موقع ما، فيجب التعامل مع أي موقع متأثر على أنه مخترق.

النطاق - ما تم الوصول إليه وما لم يتم: 

خوادم التطبيقات الخاصة بنا، وشفرتنا المصدرية، والأنظمة التي تخزن معلومات حساب PushEngage الخاصة بك مستضافة بشكل منفصل ولم يتم اختراقها . ليس لدينا أي دليل على أنه تم الوصول إلى بيانات الحساب أو التفاصيل الشخصية التي نحتفظ بها. اقتصر الاختراق على خادم موقع التسويق الخاص بنا، ومن خلال مفتاح واجهة برمجة تطبيقات شبكة توصيل المحتوى المخزن عليه، حساب شبكة توصيل المحتوى الخاص بنا. والأهم من ذلك، أن هذا لا يقلل من إلحاح أصحاب المواقع المتأثرين: تم التلاعب بالملف المقدم إلى موقعك، وهذا هو سبب أهمية الخطوات التالية إذا كنت ضمن نافذة التعرض.

من يحتاج إلى التصرف الآن: إذا كان موقعك يحتوي على PushEngage نشطًا وكان مسؤول مسجل الدخول خلال نافذة التعرض أدناه، فيرجى التعامل مع موقعك على أنه مخترق واتباع [ما يجب التحقق منه والقيام به](#what-to-check-and-do) على الفور. تحدث عمليات التحقق الأكثر موثوقية على خادمك، وليس في لوحة تحكم WordPress.

نافذة التعرض

بناءً على سجلات مزود شبكة توصيل المحتوى الخاصة بنا، كان التكوين غير المصرح به مع الملفات المعدلة ساري المفعول لمدة ساعات تقريبًا في 12 يونيو 2026 (UTC). بالنسبة لمجموعة فرعية من المستخدمين، استمر في التقديم حتى 14 يونيو (UTC) من مواقع حافة معينة لشبكة توصيل المحتوى. نواصل تأكيد الفترة الدقيقة التي تم خلالها تقديم المحتوى المتأثر، وسنقوم بتحديث هذا الإشعار عند التحقق من التفاصيل الإضافية.

المواقع التي قامت بتحميل البرنامج النصي المتأثر مع تسجيل دخول مسؤول خلال هذه النافذة فقط هي التي يمكن أن تكون قد تعرضت للاختراق.

الملفات المتأثرة كانت البرامج النصية القياسية المضمنة المقدمة من:

• https://clientcdn.pushengage.com/sdks/pushengage-web-sdk.js   (PushEngage)
• https://clientcdn.pushengage.com/sdks/pushengage-subscription.js (PushEngage)

ماذا حدث

استغل مهاجم ثغرة معروفة في إضافة WordPress تابعة لجهة خارجية (UpdraftPlus) للوصول إلى الخادم الذي يستضيف موقع التسويق الخاص بنا. هذا الخادم منفصل تمامًا: مضيف مختلف، بنية تحتية مختلفة عن خوادم التطبيقات التي تشغل PushEngage وتخزن بيانات العملاء.

على خادم التسويق، حدد المهاجم مفتاح API لحساب شبكة توصيل المحتوى (CDN) الخاص بنا. باستخدام هذا المفتاح، لم تكن هناك حاجة للمس أصل التطبيق الخاص بنا على الإطلاق. قاموا بتعديل الملفات التي كانت شبكة CDN الخاصة بنا تقدمها، لذلك تم تسليم البرنامج النصي المخترق إلى المواقع التي قامت بتضمينه لفترة محدودة قبل أن نكتشف التغيير ونعيده.

لقد قمنا منذ ذلك الحين بمعالجة موقع التسويق، ونقله إلى خادم جديد، و تدوير جميع بيانات الاعتماد، بما في ذلك مفتاح API لشبكة CDN.

ما فعله الكود الخبيث

في موقع متأثر، عندما قام مسؤول مسجل الدخول بتحميل صفحة، حاول الكود:

1. التأكد من أنه يعمل في سياق مسؤول ووردبريس، ثم جمع رموز الأمان اللازمة للتصرف بصفتي هذا المسؤول.
2. إنشاء حساب مسؤول مخفي. تشمل الحسابات المعروفة developer_api1 ([email protected]) والحسابات العشوائية بالشكل dev_xxxxxx.
3. تثبيت مكون إضافي للتخفي الذاتي يخفي نفسه عن لوحة التحكم ويكشف عن واجهة ويب غير مصادق عليها ونقطة نهاية لتنفيذ التعليمات البرمجية - مما يمنح فعليًا السيطرة الكاملة على الموقع.
4. إرسال بيانات الاعتماد الجديدة وتفاصيل الموقع إلى خادم يتحكم فيه المهاجم.

نظرًا لأن الباب الخلفي يخفي نفسه عن شاشات مسؤول ووردبريس، فإن لوحة التحكم وحدها لن تخبرك ما إذا كنت متأثرًا. الفحوصات الموثوقة تكون على نظام ملفات الخادم وعبر فحص من جانب الخادم.

ما يجب التحقق منه والقيام به

إذا كان لديك PushEngage يعمل على موقعك الإلكتروني وقام مسؤول بتسجيل الدخول إلى موقع ووردبريس الخاص بك خلال فترة التعرض، فقم بما يلي في أقرب وقت ممكن. إذا كنت غير متأكد مما إذا كان مسؤول قد سجل الدخول، فمن الأسلم التحقق.

1. إزالة حسابات المسؤولين المخالفة. ابحث عن developer_api1 / [email protected] وأي حسابات dev_xxxxxx غير متوقعة، وقم بحذفها.

2. تحقق من نظام الملفات - وليس فقط لوحة التحكم - بحثًا عن المكون الإضافي الخلفي. ضمن wp-content/plugins، ابحث عن content-delivery-helper (“مساعد توصيل المحتوى”) أو database-optimizer (“محسن قاعدة البيانات”). يتغير التمويه، لذا ثق بما هو موجود على القرص أكثر مما تعرضه لوحة التحكم. قم بإزالة أي شيء تجده.

3. قم بتشغيل فحص برامج ضارة من جانب الخادم. نظرًا لأن الحمولة لم تعمل إلا للمسؤولين المسجلين، فإن فحوصات لوحة التحكم والجانب العميل غير موثوقة؛ يعد الفحص من جانب الخادم الطريقة الأكثر موثوقية للعثور على الباب الخلفي أو أي تغييرات أخرى.

4. إذا وجدت أي مؤشر مما سبق، فافترض اختراقًا كاملاً وقم بتدوير كل شيء: كلمات مرور المسؤولين، مفاتيح التطبيق/API، بيانات اعتماد قاعدة البيانات، ومفاتيح ووردبريس الأمنية/الأملاح في wp-config.php. سمح الباب الخلفي بتنفيذ تعليمات برمجية عشوائية، لذلك قد توجد استمرارية إضافية.

إذا لم تجد أيًا من هذه المؤشرات ولم يكن هناك مسؤول مسجل الدخول خلال النافذة الزمنية، فمن المحتمل جدًا أن يكون موقعك غير متأثر ولا يلزم اتخاذ أي إجراء بخلاف النظافة القياسية (تمكين المصادقة الثنائية، والحفاظ على تحديث البرامج).

ما قمنا به حتى الآن

• اكتشفنا التلاعب وأعدنا ملفات شبكة CDN المتأثرة على الفور؛ قمنا بتطهير ذاكرة التخزين المؤقت لشبكة CDN بحيث يتم تقديم الملفات النظيفة.
• ألغينا وقمنا بتدوير مفتاح API لشبكة CDN وجميع بيانات الاعتماد ذات الصلة.
• تمت معالجة موقع التسويق المخترق وتم ترحيله إلى خادم جديد على بنية تحتية منفصلة.
• تم التأكد من أن خوادم التطبيقات لدينا، وشفرة المصدر، وأنظمة بيانات العملاء الموجودة على بنية تحتية منفصلة لا تظهر أي دليل على الوصول.
• قمنا بإشراك فريق الأمن لدينا ونعمل مع مزود شبكة توصيل المحتوى (CDN) الخاص بنا للحصول على سجلات التسليم.

الحالة والمخاطر المستمرة

تم تصحيح تكوين شبكة توصيل المحتوى (CDN) الخاصة بنا وتمت إزالة الملفات التي تم العبث بها، وتم تدوير بيانات الاعتماد المتأثرة، وتمت معالجة نقطة الدخول على خادم التسويق الخاص بنا. 

إن معالجة أنظمتنا لا تنظف موقعًا تم اختراقه بالفعل. إذا تأثر موقعك خلال فترة التعرض، فإن حساب المسؤول المحتال والإضافة الخلفية المخفية تظل في مكانها حتى تقوم بإزالتها باستخدام الخطوات المذكورة أعلاه. نوصي بالتصرف بسرعة. سنقوم بتحديث هذه الصفحة إذا ظهرت معلومات إضافية ذات صلة.

مؤشرات الاختراق

لمالكي المواقع وفرق الأمن:

الحسابات المحتالة:

• developer_api1 / [email protected]      (حساب مشغل ثابت)
• dev_xxxxxx / [email protected]            (حسابات عشوائية)

إخفاء الإضافات الخلفية (تدوير؛ تحقق من نظام الملفات):

• content-delivery-helper   “مساعد توصيل المحتوى”   v2.7.1
• database-optimizer        “محسن قاعدة البيانات”         v2.9.4

البنية التحتية للمهاجم:

• tidio.cc   (نطاق مشابه - ليس tidio.com الشرعي)

سلاسل فريدة:

• jX9kM2nP4qR6sT8v            (مفتاح التشفير الذي يستخدمه البرمجيات الخبيثة)
• WPM File Manager & Shell    (واجهة شل خلفية)

اتصل بنا

إذا كانت لديك أسئلة، أو احتجت إلى مساعدة في فحص موقعك، أو لاحظت أي شيء غير عادي، فاتصل بنا على [email protected]. نحن نعطي الأولوية للاستفسارات المتعلقة بالحوادث وسنحافظ على تحديث هذه الصفحة.

إن حماية عملائنا هي أولويتنا. نتفهم أن هذا الحادث قد يكون مقلقًا، ونأسف لأي اضطراب سببه. تعكس المعلومات الواردة أعلاه تحقيقنا حتى الآن، وسنقوم بتحديث هذه الصفحة عند تأكيد تفاصيل إضافية.