تتوالى الهجمات السيبرانية، حيث كشفت تقارير حديثة عن اختراق أكثر من 7500 موقع إلكتروني يعمل بمنصة ماجنتو (Magento) منذ أواخر فبراير 2026، ويقوم المهاجمون من خلال هذه الاختراقات بتحميل ملفات خبيثة مخفية عبر مجلدات الويب المتاحة للجمهور.
تأتي هذه الحادثة لتلقي بظلالها على أمن التجارة الإلكترونية، خاصة وأن اختراق مواقع ماجنتو يطال الآن آلاف النطاقات، ويشمل علامات تجارية كبرى، جهات حكومية، جامعات، ومنظمات غير ربحية في دول متعددة، مما يجعلها واحدة من أوسع حملات اختراق مواقع ماجنتو تأثيراً في الآونة الأخيرة.
حملة واسعة تستهدف منصة تجارة إلكترونية رائدة
تُعد منصة ماجنتو واحدة من أكثر منصات التجارة الإلكترونية انتشاراً على مستوى العالم، حيث تدعم كل شيء بدءاً من المتاجر الصغيرة المستقلة وصولاً إلى واجهات عرض المنتجات للمؤسسات الكبرى.
هذا الانتشار الواسع يجعلها هدفاً جذاباً للمهاجمين الذين يبحثون عن فرص لاختراق عدد كبير من المواقع بأقل جهد ممكن.
عندما يتم اكتشاف طريقة استغلال موثوقة، يمكن للمهاجمين توسيع نطاقها بسرعة، وهو ما حدث بالضبط في هذه الحالة، حيث وقعت آلاف النطاقات الفريدة ضحية للهجوم في غضون أسابيع قليلة من بدء الحملة.
رصد باحثو Netcraft أول نشاط للحملة في 27 فبراير 2026، وواصلوا متابعة تطورها منذ ذلك الحين.
من بين الضحايا البارزين، نجد منظمات عالمية معروفة مثل تويوتا، فيات، سيتروين، أسوس، ديزل، فيلا، بانداي، فيديكس، بنكيو، ياماها، وليندت.
نطاق واسع من المتأثرين
على الرغم من أن معظم الاختراقات شملت نطاقات فرعية، بيئات تجريبية، أو واجهات إقليمية بدلاً من الأنظمة التشغيلية الأساسية، إلا أن بعض مواقع العملاء الحية تأثرت لفترة وجيزة قبل اتخاذ إجراءات تصحيحية.
امتد نطاق الحملة إلى ما هو أبعد من العالم التجاري. فقد وجد الباحثون أن هناك واجهات معطوبة على نطاقات خدمات حكومية إقليمية، مواقع جامعية في أمريكا اللاتينية وقطر، بنية تحتية لمنظمات غير ربحية دولية، والعديد من النطاقات المرتبطة بمنظمة ترامب – بما في ذلك trumpstore.com، trumphotels.com، و booktrump.com.
على الرغم من الطبيعة البارزة لبعض هذه الأسماء، تشير الأدلة إلى أن هذه المواقع لم يتم اختيارها بشكل متعمد. بل وقعت ضحية لحملة واسعة وغير انتقائية تستهدف البنية التحتية العرضة للخطر لمنصة ماجنتو أينما وجدت.
تفاصيل رسائل الاختراق
احتوت معظم الصفحات المعطوبة على ملفات نصية بسيطة تعرض أسماء المستخدمين للمهاجمين – L4663R666H05T، Simsimi، Brokenpipe، و Typical Idiot Security – بالإضافة إلى رسائل “تحية” (greetz)، وهي ممارسة شائعة في مجتمع تعطيل المواقع حيث يقوم المهاجمون بتسمية شركائهم وحلفائهم.
مجموعة أصغر من عمليات التعطيل، ظهرت فقط في 7 مارس 2026، تضمنت رسائل سياسية. خلص المحللون إلى أن هذا التفجر القصير للمحتوى السياسي لم يكن الدافع الأساسي للحملة، بل كان عرضاً منعزلاً خارج النمط الطبيعي للنشاط.
كيف تمكن المهاجمون من الدخول: ثغرة تحميل الملفات
يبدو أن الهجوم يعتمد على ثغرة في تحميل الملفات غير المصرح به، والتي تؤثر على بعض بيئات ماجنتو.
هذا النوع من الثغرات خطير لأنه يسمح للمهاجم بكتابة ملفات مباشرة على خادم الويب دون امتلاك أي بيانات اعتماد شرعية. لا يوجد تسجيل دخول، لا توجد كلمات مرور – فقط مسار مباشر لإيداع الملفات حيثما تسمح الثغرة بذلك.
أكد باحثو Netcraft هذا السلوك من خلال تحميل ملف .txt بنجاح إلى نسخة تجريبية من ماجنتو تعمل بإصدار Magento Community 2.4.9-beta1، وهو أحدث إصدار متاح للمنصة وقت النشر.
أظهر هذا الاكتشاف أن تثبيتات ماجنتو المحدثة حديثاً قد تظل عرضة للخطر في ظل تكوينات معينة للخادم. يشمل نطاق الثغرة Magento Open Source، Magento Enterprise، Adobe Commerce، و Adobe Commerce مع وحدة B2B.
في حين أن أدوبي أصدرت نشرة أمنية لعدة ثغرات في Adobe Commerce في ذلك الوقت تقريباً، فإن السلوك المحدد الملاحظ في هذه الحملة لا يبدو أنه يتطابق مباشرة مع الإصلاحات المنشورة.
لاحظ المحللون أيضًا أن هذه الحملة تشترك في أوجه تشابه مع ثغرة SessionReaper الخاصة بمنصة ماجنتو في أكتوبر 2025، والتي شملت أيضًا الوصول غير المصرح به للملفات.
تم الإبلاغ عن العديد من الصفحات المخترقة ذاتياً إلى Zone-H، وهو أرشيف عام لتعطيل الصفحات، من قبل معرف “Typical Idiot Security” – وهو نفس الاسم المعروض في محتوى التعطيل، مما يشير إلى وجود جهة فاعلة توثق نشاطها عن قصد لكسب تقدير داخل مجتمع تعطيل المواقع.
يُنصح بشدة للمنظمات التي تدير بنية تحتية قائمة على ماجنتو بمراجعة جميع نقاط تحميل الملفات المكشوفة على الفور، وتطبيق تحديثات الأمان المتاحة لـ Adobe Commerce دون تأخير، ومراقبة مجلدات الويب بنشاط بحثاً عن إضافات ملفات غير مصرح بها، والتحقيق الشامل في أي ملفات غير متوقعة يتم العثور عليها في مسارات الخادم المتاحة للجمهور.
بالنظر إلى أن مواقع جديدة مخترقة كانت لا تزال تظهر وقت كتابة هذا التقرير، فإن الإجراء الفوري ضروري.