Alert ديال Supply Chain: اختراق البنية التحتية ديال تحديثات Smart Slider 3 Pro باش ينشرو Backdoor
Backdoored Smart Slider 3 Pro Update Distributed via Compromised Nextend Servers
Alert ديال Supply Chain: اختراق البنية التحتية ديال تحديثات Smart Slider 3 Pro باش ينشرو Backdoor
خلاصة (TL;DR)
طرف هجومي قدر يخترق السيرفرات ديال التحديثات ديال Plug-in المسمى Smart Slider 3 Pro (اللي تابع لـ Nextend) نهار 7 أبريل 2026. لمدة 6 د السوايع، تفرق واحد التحديث مسموم (v3.5.1.35) على المستعملين، وفيه أدوات متطورة ديال الاختراق عن بُعد (Remote Access). كاع الناس اللي تقاسوا خاصهم يدوزو دغيا لنسخة 3.5.1.36 ويديرو تنظيف يدوي باش يحيدو كاع الثغرات اللي بقات مغلغلة فالسيت.
الحادثة: اختراق قناة موثوقة
فواحد الهجوم خطير من نوع "Supply Chain"، قدروا ناس مجهولين يدخلو لسيرفرات التحديث ديال Nextend باش يفرقو نسخة "صاوبها المهاجم بالكامل" ديال الـ Plug-in المعروف Smart Slider 3 Pro.
على حساب الشركة ديال الحماية Patchstack والمطور Nextend، النسخة المسمومة — 3.5.1.35 Pro — كانت موجودة فالسيرفرات الرسمية لمدة 6 د السوايع تقريبا نهار 7 أبريل 2026، قبل ما يعيقو بها ويحيدوها. النسخة المجانية (Free) ما تقاساتش، ولكن أي مستخدم ديال النسخة Pro دار التحديث فداك الوقت، وصلاتو "ترسانة" ديال الهجوم بلاصة التحديث العادي.
تشريح الهجوم (Payload)
التحديث "المسموم" ماشي غير "Web Shell" عادي، ولكن وصوفوه الباحثين فالحماية بلي هو مجموعة أدوات متكاملة ديال الاختراق عن بُعد، مصممة باش تبقى مخبية فالسيت لأطول مدة ممكنة.
القدرات الأساسية:
- تنفيذ الكود عن بُعد (RCE): المهاجمين يقدروا ينفذوا كود PHP أو أوامر فالسيرفر باستعمال HTTP headers مخصصين (
X-Cache-StatusوX-Cache-Key). هاد الـX-Cache-Keyكيدوز الكود نيشان للـ Function ديالshell_exec(). - حسابات أدمن وهمية: المالاير (Malware) كيكريي حساب أدمن مخفي (مثلا
wpsvc_a3f1). وكيخرب فـ WordPress filters (بحالpre_user_queryوviews_users) باش يضمن بلي الـ Admins الحقيقيين ما يقدروش يشوفوا هاد المستخدم الوهمي فاللوحة ديال التحكم. - إعدادات مخفية: هاد الأدوات كتخدم بـ WordPress options مخصصين (بحال
_wpc_akو_wpc_uinfo) مع تعطيل خاصية الـ "autoload" باش ما يبانوش يلا تدار Scan عادي للـ Database. - سرقة البيانات: المعلومات الحساسة ديال السيت — فيها سميات الـ Database، الـ Credentials ديال الـ Admin بـ Plaintext، والنسخ ديال السيت — كاملة كتصيفط لواحد الـ Domain ديال التحكم (C2):
wpjs1[.]com.
آليات البقاء (Persistence)
اللي كيخلي هاد الهجوم خطر بزاف هو القدرة ديالو على البقاء. المالاير كيزرع راسو فـ 3 البلايص مختلفة باش يلا تحيد واحد الـ Backdoor، يبقاو لخرين خدامين:
- Must-Use Plugin: كيكريي ملف سميتو
object-cache-helper.phpباش يبان بحال شي إضافة ديال الـ Cache. - حقن فالتيم (Theme): الكود ديال الـ Backdoor كيتزاد فالتالي ديال الملف
functions.phpديال الـ Theme اللي خدامين بيه. - الملفات الأساسية (Core): كيزرع ملف سميتو
class-wp-locale-helper.phpفالدليل ديال/wp-includes/.
خطوات الإصلاح والتنظيف
شركة Nextend خرجات النسخة 3.5.1.36 باش تحل هاد المشكل. ولكن، غير دير تحديث بوحدو يقدر ما يكونش كافي يلا كان الـ Backdoor ديجا تزرع. الناس اللي تقاسوا خاصهم يديرو هاد الخطوات:
- تحديث/إعادة تثبيت: دوز لنسخة 3.5.1.36 وحاول تمسح الـ Plug-in وتعاود تنصبو من جديد (Clean Install).
- مراجعة الحسابات: قلب على أي حسابات أدمن مشكوكة ومسحها.
- مسح الملفات يدوياً: حيد الملفات اللي ذكرنا لفوق (
object-cache-helper.phpوclass-wp-locale-helper.php) ونقي الملف ديالfunctions.phpفالتيم ديالك. - تنظيف الـ Database: مسح هاد السطور من الجدول ديال
wp_options:_wpc_ak,_wpc_uid,_wpc_uinfo,_perf_toolkit_source, وwp_page_for_privacy_policy_cache.
- تنظيف الإعدادات: حيد السطر
define('WP_CACHE_SALT', '<token>');من الملفwp-config.phpوالسطر ديال# WPCacheSaltمن الملف.htaccess. - تغيير كاع المودباصات: بدل المودباصات ديال الـ Admins، الـ Database، FTP/SSH، والحساب ديال الاستضافة (Hosting).
خلاصة
هاد الحادثة كتفكرنا بشحال "Supply Chain" ديال البرامج يقدر يكون نقطة ضعف كبيرة. كيف قالت Patchstack: "الـ Plug-in هو المالاير براسو"، وهادشي كيعني بلي أنظمة الحماية التقليدية بحال Firewall كيتم التجاوز ديالها حيت الثقة محطوطة فـ "قنوات التحديث الرسمية". أي واحد عندو Smart Slider 3 Pro خاصو يقلب السيت ديالو دابا واش دازت فيه النسخة 3.5.1.35.
المصدر: The Hacker News