في عام 2026، تتصاعد حملة إلكترونية متطورة تستهدف المتسوقين عبر الإنترنت، حيث تقوم باختراق مواقع التجارة الإلكترونية وسرقة معلومات الدفع الحساسة أثناء عملية إتمام الشراء. تُعرف هذه الهجمات بأنها جزء من عائلة تهديدات “ماجي كارت” (Magecart)، وهي تمثل تحدياً متزايداً لأمن قطاع التجزئة عبر الإنترنت.
تشير تقارير خبراء التهديدات إلى وجود بنية تحتية واسعة النطاق مرتبطة بهذه الحملة المستمرة منذ أوائل عام 2022. تستهدف الشبكة الخبيثة مزودي خدمات الدفع الرئيسيين، بما في ذلك شركات مثل أمريكان إكسبريس، داينرز كلوب، ديسكفر، ماستركارد، جي سي بي، ويونيون باي، مما قد يؤثر على ملايين العملاء حول العالم.
هجمات ماجي كارت: آلية متطورة لسرقة البيانات
تعتمد آلية الهجوم على حقن شيفرات جافاسكريبت خبيثة في مواقع التجارة الإلكترونية الشرعية، دون إحداث أي تنبيهات أمنية واضحة. تظل هذه الشيفرات كامنة حتى يصل الزوار إلى صفحة الدفع، ليتم بعدها تفعيل حمولتها الخبيثة بهدف سرقة بيانات الاعتماد.
تعتمد البنية التحتية لهذه الهجمات على نطاقات مخترقة ومقدمي خدمات استضافة محصنة (Bulletproof Hosting) للحفاظ على عدم الكشف عنها. وقد لاحظ محللو وباحثو “سايلنت بوش” (Silent Push) أن المهاجمين يمتلكون معرفة عميقة ببنية ووردبريس، حيث يستغلون ميزات غير معروفة، مثل خطافات الإجراءات (action hooks) في “wp_enqueue_scripts”، لدمج الشيفرات الخبيثة في عملية عرض الموقع.
تقنية إنشاء واجهة وهمية
تكمن البراعة التقنية في كيفية قيام البرمجية الخبيثة بإنشاء واجهة مقنعة خلال عملية الدفع. تقوم الأداة الخبيثة بإنشاء “MutationObserver” لمراقبة أي تغييرات تطرأ على صفحة الويب بشكل مباشر، مما يضمن مراقبة مستمرة لبيئة نموذج الدفع.
بعد ذلك، تقوم الأداة بإخفاء نموذج الدفع الشرعي الخاص بـ “سترايب” (Stripe) واستبداله بنموذج وهمي مطابق تقريباً، يقوم بتسجيل أرقام البطاقات، تواريخ الانتهاء، رموز التحقق (CVV)، ومعلومات الفوترة. يتضمن النموذج الوهمي منطقاً للكشف عن العلامة التجارية للبطاقة وعرض صور العلامة التجارية المقابلة، لتعزيز المصداقية أمام الضحايا.
سرقة بيانات إضافية وآليات الإخفاء
لا تقتصر عملية جمع البيانات على تفاصيل الدفع فقط. تراقب البرمجية الخبيثة كل حقل إدخال في صفحة الدفع، وتقوم بجمع الأسماء، العناوين، ومعلومات البريد الإلكتروني. بعد أن يقوم الضحايا بإكمال النموذج والضغط على زر “تقديم الطلب”، تقوم البرمجية الخبيثة بتجميع كل البيانات التي تم جمعها في كيان منظم، ثم تقوم بتشفيره باستخدام مفتاح ثابت (777) وعملية XOR، ومن ثم ترميزه بتنسيق Base64.
يتم بعد ذلك إرسال الحمولة المشفرة عبر طلب HTTP POST إلى خوادم استخلاص البيانات الموجودة على البنية التحتية المخترقة. تستغل هذه الهجمات علم النفس لدى المستخدمين من خلال عرض رسائل خطأ متعلقة بالدفع بعد تقديم النموذج، مما يضلل الضحايا للاعتقاد بأنهم أدخلوا معلومات غير صحيحة.
غالباً ما يقوم العملاء غير المتشككين بإعادة إدخال بيانات الاعتماد في النموذج الشرعي، مكملين مشترياتهم بنجاح، دون أن يدركوا أن بياناتهم قد تم سرقتها بالفعل. هذه المعالجة النفسية تزيد بشكل كبير من معدلات نجاح الهجوم عن طريق تجنب إثارة الشكوك.
تتضمن البرمجية الخبيثة أيضاً تكتيكات تهرب تكتشف حالة المسؤول في ووردبريس من خلال شريط الإدارة، وتقوم بتعطيل نفسها تلقائياً عندما يقوم المسؤولون بتصفح الموقع، مما يطيل بشكل كبير من العمر التشغيلي للحملة.
يتوقع باحثو الأمن أن تستمر هذه التهديدات المتعددة السنوات في استهداف متاجر الإنترنت الضعيفة طوال عام 2026.