تم اختراق نماذج الجاذبية الشهيرة في WordPress فيما يبدو هجومًا في سلسلة التوريد حيث أصيب المثبتون اليدويون من الموقع الرسمي بالورق الخلفي.
يعد Gravity Forms مكونًا إضافيًا لإنشاء جهة اتصال ودفع ونماذج أخرى عبر الإنترنت. استنادًا إلى البيانات الإحصائية من البائع ، لا يتم تخصيص المنتج على حوالي مليون موقع ويب ، بعضها ينتمي إلى منظمات معروفة مثل Airbnb و Nike و ESPN و Unicef و Google و Yale.
تنفيذ الرمز البعيد على الخادم
تقول شركة WordPress Security Patchstack إنها تلقت تقريراً في وقت سابق اليوم حول الطلبات المشبوهة التي تم إنشاؤها بواسطة الإضافات التي تم تنزيلها من موقع Gravity Pyps.
بعد فحص المكون الإضافي ، أكدت Patchstack أنها تلقت ملفًا ضارًا (GravityForms/Common.php) تم تنزيله من موقع البائع. كشف الفحص الدقيق أن الملف بدأ طلبًا منشورًا إلى مجال مشبوه في “gravityapi.org/sites”.
عند إجراء مزيد من التحليل ، وجد الباحثون أن المكون الإضافي جمع بيانات تعريف موقع واسعة النطاق ، بما في ذلك عنوان URL ، ومسار المسؤول ، والموضوع ، والمكونات الإضافية ، وإصدارات PHP/WordPress ، وتوضيحه للمهاجمين.
تتضمن استجابة الخادم البرامج الضارة PHP BASE64 ، والتي يتم حفظها على أنها “WP-Includes/Bookmark-Canonical.php.”
تنكر البرامج الضارة كأدوات لإدارة محتوى WordPress التي تتيح تنفيذ التعليمات البرمجية عن بُعد دون الحاجة إلى المصادقة باستخدام وظائف مثل “Handle_Posts ()” و “Handle_media ()” و “Handle_Widgets ().”
“يمكن استدعاء كل هذه الوظائف من __construct -> init_content_management -> handle_requests -> process_request وظيفة. لذلك ، يمكن تشغيلها بشكل أساسي بواسطة مستخدم غير مصادق ،””https://patchstack.com/articles/critical-malware-found-in-gravityforms-official-plugin-site/” الهدف=”_blank” rel=”nofollow noopener”> patchstack يشرح.
وقال الباحثون: “من جميع الوظائف ، سيقوم بإجراء مكالمة eval مع الإدخال المرفق للمستخدم ، مما يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد على الخادم”.
تم إبلاغ Rocketgenius ، المطور وراء Gravity Forms ، بالقضية ، وأبلغ أحد الموظفين Patchstack أن البرامج الضارة تؤثر فقط على التنزيلات اليدوية وتركيب الملحن للمكون الإضافي.
توصي باتشستاك بأن يعيد أي شخص قام بتنزيل نماذج الجاذبية بدءًا أمس تثبيت المكون الإضافي عن طريق الحصول على نسخة نظيفة. يجب على المشرفين أيضًا مسح مواقع الويب الخاصة بهم للحصول على أي علامات للعدوى.
وفقًا لـ Patchstack ، تم تسجيل المجالات التي تسهل هذه العملية في 8 يوليو.
يضيف المتسللين حساب المسؤول
نشر Rocketgenius بعد الوفاة من الحادث الذي يؤكد أن الجاذبية فقط تشكل 2.9.11.1 و 2.9.12 المتاحة للتنزيل اليدوي بين 10 و 11 يوليو.
إذا قام Admins بتركيب ملحن للإصدار 2.9.11 في أي من التاريخين ، فقد تلقوا نسخة مصابة من المنتج.
“The Gravity API service that handles licensing, automatic updates, and the installation of add-ons initiated from within the Gravity Forms plugin was never compromised. All package updates managed through that service are unaffected” -“https://www.gravityforms.com/blog/security-incident-notice/” الهدف=”_blank” rel=”nofollow noopener”> Rocketgenius
يقول Rocketgenius أن الكود الخبيث المحظور محاولات التحديث ، واتصل بخادم خارجي لجلب حمولات إضافية ، وأضاف حساب المسؤول الذي أعطى المهاجم التحكم الكامل في الموقع.
يوفر المطور أيضًا طرقًا للمسؤولين”https://www.gravityforms.com/blog/security-incident-notice/#:~:text=Howtoidentifyaninfectedsite” الهدف=”_blank” rel=”nofollow noopener”> تحقق من وجود عدوى محتملة من خلال اتباع روابط محددة على مواقع الويب الخاصة بهم.
“https://www.bleepstatic.com/c/w/wiz/8-common-threats.jpg” alt=”Tines Needle”>
8 تهديدات شائعة في عام 2025
على الرغم من أن الهجمات السحابية قد تنمو أكثر تطوراً ، إلا أن المهاجمين لا يزالون ينجحون بتقنيات بسيطة بشكل مدهش.
بالاعتماد على اكتشافات Wiz عبر الآلاف من المنظمات ، يكشف هذا التقرير عن 8 تقنيات رئيسية تستخدمها ممثلي التهديدات السحابية.