اختراق 700 موقع عبر ثغرة Ghost CMS لتنفيذ هجمات ClickFix

مقدمة تحليلية

\nفي واحدة من أوسع عمليات التسميم الرقمي الممنهجة التي شهدها عام 2026، كشفت التقارير الأمنية الصادرة عن مختبرات QiAnXin XLab عن حملة اختراق واسعة النطاق استهدفت أكثر من 700 موقع إلكتروني نشط يعتمد على نظام إدارة المحتوى الشهير Ghost CMS. تأتي هذه الهجمات المنسقة مدفوعة باستغلال ثغرة أمنية حرجة تم تصنيفها تحت الرمز CVE-2026-26980، والتي تتيح للمهاجمين غير المصرح لهم حقن برمجيات خبيثة مصممة لتنفيذ هجمات الهندسة الاجتماعية المعروفة باسم ClickFix. وتكمن خطورة هذه الحملة في تنوع أهدافها؛ حيث طالت مواقع تابعة لجامعات مرموقة، ومنصات للذكاء الاصطناعي، ومشاريع البلوكشين، وشركات التكنولوجيا المالية، مما يزيد من معدلات نجاح الهجوم نتيجة ثقة المستخدمين العالية في هذه النطاقات الموثوقة.\n\nبدأت خيوط هذه المؤامرة الرقمية بالتكشف في السابع من مايو 2026، بعد أن لاحظ الباحثون نشاطاً غير معتاد لمجموعتين منفصلتين من التهديدات المتقدمة. المفارقة المثيرة للاهتمام هي أن الثغرة المسببة لهذه الفوضى تم اكتشافها في الأصل بواسطة نموذج الذكاء الاصطناعي Claude التابع لشركة Anthropic خلال مراجعة برمجية واسعة النطاق، وتم إصدار إصلاح أمني رسمي لها في فبراير 2026. ومع ذلك، فإن تباطؤ مديري المواقع في تحديث أنظمتهم منح المهاجمين فرصة ذهبية لتحويل هذه الثغرة إلى سلاح هجومي فتاك يعيد تشكيل مشهد تهديدات الويب.\n\n

التحليل التقني

\nتستند الهجمات الحالية إلى ثغرة حقن استعلامات قاعدة البيانات SQL Injection في واجهة برمجة تطبيقات المحتوى Content API لنظام Ghost CMS، الحاملة للرمز CVE-2026-26980 وبتقييم خطورة يصل إلى 9.4 وفقاً لمقياس CVSS. يكمن الخطر الفعلي في قدرة المهاجم غير المصرح له على استغلال هذه الثغرة لقراءة البيانات الحساسة مباشرة من قاعدة بيانات النظام دون الحاجة إلى أي صلاحيات مسبقة.\n\nتسير آلية الاختراق وسلسلة العدوى عبر الخطوات التقنية التالية:\n

\n
• استخراج المفاتيح الإدارية: يستغل المهاجم ثغرة SQL Injection لقراءة محتويات قاعدة البيانات وسرقة مفتاح واجهة برمجة التطبيقات الإدارية Admin API Key الخاص بالنظام بشكل كامل.
\n
• تسميم المحتوى بالجملة: باستخدام مفتاح Admin API المسروق، يرسل المهاجم أوامر برمجية لتعديل المقالات المنشورة على الموقع المستهدف بشكل جماعي، وحقن أكواد JavaScript خبيثة في أسفل الصفحات.
\n
• تفعيل محمل التنزيل ثنائي المراحل: تعمل الأكواد المحقونة كمحمل تنزيل Two-stage loader يقوم ديناميكياً باستدعاء البرمجية الخبيثة الأساسية من النطاق الخارجي 'clo4shara[.]xyz/11z77u3.php' عند زيارة المستخدم للموقع.
\n
• التمويه وتجاوز الأنظمة الدفاعية: يتم تشغيل برنامج التمويه والتوزيع عبر خدمة Adspect التجارية، والتي تفحص البصمة الرقمية لمتصفح الزائر للتأكد من أنه ضحية حقيقية وليس فاحصاً أمنياً أو روبوت زحف، حيث تظهر صفحة سليمة تماماً للمحللين الأمنيين بينما يتم توجيه الضحايا الحقيقيين لصفحة الاحتيال.
\n
• تنفيذ هجوم ClickFix: يُعرض على الضحية إطار فرعي Iframe يحتوي على اختبار كابتشا فاشل Fake CAPTCHA، ويُطلب منه نسخ أمر برمجي مشفر بصيغة Base64 ولصقه في نافذة التشغيل Windows Run كشرط لتجاوز الاختبار.
\n
• السيطرة وبناء بيئة الثبات: يؤدي لصق الأمر إلى تشغيل PowerShell لتنزيل ملف ZIP يحتوي على برمجيات خبيثة، تزرع في النهاية تطبيقاً معدلاً من عميل Grape Desktop المستند إلى إطار العمل Electron، والذي يتصل بخادم التحكم 'web-telegram[.]ug' كل 30 ثانية لتلقي وتنفيذ الأوامر عن بُعد.
\n

\nوقد أظهرت التحليلات أن المطورين في Ghost قد أصدروا التحديث رقم 6.19.1 لمعالجة الثغرة في فبراير 2026، مما يعني أن كافة المواقع التي تعرضت للاختراق كانت تعمل بإصدارات قديمة لم تطبق التدابير الأمنية الصادرة في الوقت المناسب.\n\n

السياق وتأثير السوق

\nتعكس هجمات ClickFix تحولاً استراتيجياً في أساليب المهاجمين للتغلب على آليات الحماية المتطورة التي تدمجها المتصفحات الحديثة مثل Google Chrome وMicrosoft Edge. فمع زيادة صعوبة تنفيذ الهجمات الصامتة دون تفاعل المستخدم، بات المهاجمون يعتمدون على أساليب الهندسة الاجتماعية المعقدة التي تدفع المستخدم لتنفيذ الأوامر بنفسه تحت غطاء المهام الإدارية المألوفة مثل حل اختبارات التحقق البشري أو تحديث المتصفح يدوياً.\n\nإن اختراق أكثر من 700 موقع موثوق يشمل قطاعات حساسة مثل الجامعات العريقة وصناعات الذكاء الاصطناعي والويب 3 يوجه ضربة قوية لمفهوم أمن سلاسل التوريد الرقمية للويب. لم يعد الخطر قادراً على تدمير خوادم المواقع فحسب، بل تحولت هذه المواقع إلى منصات إطلاق وبث للبرمجيات الخبيثة تستغل الثقة المتبادلة بين المستخدم والمواقع التي يتردد عليها يومياً. هذا الاستغلال يسلط الضوء أيضاً على الدور المزدوج للذكاء الاصطناعي؛ فبينما نجح نموذج Claude في الكشف عن الثغرة لمساعدة المطورين على سدها، سارع المهاجمون لتبني الهندسة العكسية للتحديثات لضرب الأنظمة التي لم تقم بالترقية بعد في وقت قياسي.\n\n

رؤية Glitch4Techs

\nمن منظور Glitch4Techs الأمني، تكشف هذه الحملة الشرسة عن فجوة زمنية خطيرة ومزمنة في إدارة الثغرات الأمنية داخل المؤسسات الرقمية. إن بقاء ثغرة حرجة مثل CVE-2026-26980 دون معالجة من فبراير حتى مايو يعكس تهاوناً غير مقبول في سياسات الترقية الدورية، خاصة وأن أنظمة إدارة المحتوى تعد الواجهة الأمامية والأكثر عرضة للاستهداف المباشر.\n\nنود التنويه إلى نقطة تقنية بالغة الأهمية يغفل عنها الكثير من مسؤولي الأنظمة: عملية سد الثغرة عن طريق ترقية نظام Ghost CMS إلى الإصدار 6.19.1 أو أحدث هي خطوة غير كافية بمفردها إن كان الموقع قد تعرض للاختراق بالفعل. فبمجرد سرقة المهاجم لمفتاح واجهة برمجة التطبيقات الإدارية Admin API Key، فإنه يمتلك تصريح مرور دائم ومستقل لتعديل المحتوى وحقن الأكواد الخبيثة حتى بعد ترقية برمجيات النظام الأساسي. بناءً على ذلك، نوصي باتخاذ حزمة الإجراءات الحاسمة التالية: أولاً، الترقية الفورية والكاملة لنظام Ghost CMS. ثانياً، إجراء عملية تدوير إلزامية وشاملة لكافة مفاتيح واجهات برمجة التطبيقات وسحب الصلاحيات القديمة. ثالثاً، فحص سجلات الوصول وقواعد البيانات للبحث عن أي تعديلات مجهولة طالت المقالات والصفحات المنشورة وتطهيرها فوراً. وأخيراً، إشعار الزوار المحتمل تعرضهم للاختراق لضمان عدم وقوعهم ضحايا لتنفيذ الأوامر المحلية عبر نوافذ التشغيل الخاصة بهم. إن مواجهة هجمات ClickFix تتطلب وعياً أمنياً يتجاوز مجرد تثبيت حزم التحديثات إلى بناء ثقافة تقنية تقاوم الخداع الرقمي الذكي.