تستغل جهات تهديد حاليًا ثغرة أمنية حرجة تم اكتشافها مؤخرًا في نظام إدارة المحتوى Ghost CMS. تهدف هذه الثغرات إلى حقن شفرات برمجية ضارة لتنفيذ هجمات ClickFix.
وفقًا لتقرير صادر عن QiAnXin XLab، تتضمن هذه الأنشطة استغلال ثغرة حقن SQL المعروفة بالرمز CVE-2026-26980 (بمعدل خطورة 9.4)، والتي تؤثر على واجهة برمجة تطبيقات محتوى Ghost. تسمح هذه الثغرة الفادحة للمهاجمين غير المصادق عليهم بقراءة أي بيانات من قاعدة البيانات. تم معالجة هذه الثغرة في فبراير 2026 ضمن الإصدار 6.19.1 لنظام Ghost CMS.
استغلال ثغرة Ghost CMS يؤدي لهجمات ClickFix
تكمن خطورة هذه الثغرة في قدرتها على منح المهاجمين وصولًا غير مصرح به إلى مفتاح واجهة برمجة تطبيقات المسؤول (Admin API Key) للموقع. هذا المفتاح يمنح صلاحية التلاعب بالمحتوى وحقن الشفرات الضارة، مما يسهل تغيير المقالات المنشورة.
استخدمت الجهات المهاجمة هذه الثغرة “للحصول على مفتاح واجهة برمجة تطبيقات المسؤول للموقع المستهدف دون تصريح. ثم استخدمته للتلاعب بالمقالات بكميات كبيرة، وحقن أدوات تحميل (loaders) لبرمجيات JavaScript خبيثة في أسفل الصفحات للمساعدة في هجمات CAPTCHA المزيفة”، وفقًا لـ XLab.
حملة تسميم واسعة النطاق
وصفت شركة الأمن السيبراني الصينية هذه الحملة بأنها “تسميم واسع النطاق” تستخدم ثغرة Ghost CMS كسلاح. وتشير التقييمات إلى أن مجموعتي تهديد مختلفتين تقفان وراء هذه الحملة، وفي بعض الحالات، تم زرع شفرة خبيثة في مواقع خلال يوم واحد فقط. تم اكتشاف هذه الأنشطة لأول مرة في 7 مايو 2026.
بشكل عام، أثرت الحملة على أكثر من 700 موقع إلكتروني، تشمل قطاعات مثل الجامعات، والبلوك تشين، والذكاء الاصطناعي، والبرمجيات كخدمة (SaaS)، وأبحاث الأمن، والإعلام، والتكنولوجيا المالية. حقيقة أن هذه المواقع الشرعية قد تم اختراقها يزيد من نسبة نجاح هجمات ClickFix، بحسب XLab.
آلية عمل الشفرة الخبيثة
تعمل شفرة JavaScript المحقونة في أسفل المقالات على مرحلتين. تقوم المرحلة الأولى بتحميل الشفرة الأساسية (payload) في وقت التشغيل من نطاق خارجي (“clo4shara[.]xyz/11z77u3.php”). هذه البنية توفر مرونة للمهاجمين لتغيير الشفرات لاحقًا مع الحفاظ على وظيفة التحميل الأساسية.
وأوضح XLab أن الوصول المباشر إلى “clo4shara[.]xyz/11z77u3.php” يكشف عن شفرة تعتبر “سكريبت توزيع حركة مرور نموذجي”. وظيفته الأساسية هي جمع معلومات بصمة المتصفح وتحميلها إلى الخادم، ثم تنفيذ إجراءات مثل إعادة التوجيه، النوافذ المنبثقة، أو التنزيلات بناءً على التعليمات الواردة. يستند سكريبت PHP هذا على خدمة Adspect التجارية للتعتيم.
الفكرة خلف استخدام سكريبت التعتيم هي التأكد من أن المستخدمين الحقيقيين فقط هم من يرون الشفرة الخبيثة، بينما تعرض الصفحات الآمنة للمسح الأمني وفهارس التقنية. يدعم السكريبت أيضًا 19 أمرًا مختلفًا لتنفيذ شفرات JavaScript عشوائية والتحكم عن بعد في متصفح الضحية.
توطين هجمات ClickFix
يتم توجيه زوار الموقع الذين يعتبرون أهدافًا إلى صفحة تحقق مزيفة من نوع CAPTCHA ضمن عنصر iframe. الهدف هو إثبات أنهم بشر، وهذا بدوره يشغل هجوم ClickFix، حيث يُطلب منهم نسخ ولصق أمر مشفر بصيغة Base64 في مربع حوار “تشغيل” بنظام Windows.
يقوم هذا الأمر بتنزيل أرشيف ZIP يحتوي على سكريبت دفعي لنظام Windows وتشغيله. يقوم بدوره بتنفيذ أمر PowerShell لتنزيل ملف DLL من نطاق بعيد، وتشغيله باستخدام “rundll32.exe”، وفتح صفحة ويب وهمية للمستخدم كإلهاء.
تم العثور على إصدارات لاحقة من البرمجيات الخبيثة تستبدل ملف DLL بشفرة JavaScript. بغض النظر عن نوع الشفرة، فإن الهدف النهائي للهجوم هو إسقاط ملف تنفيذي من نظام Windows. في حالة ملف DLL، يكون الملف التنفيذي عبارة عن عميل PuTTY مع شهادة توقيع رمز صالحة. أما الملف الثنائي الموزع عبر JavaScript فهو مثبت Inno Setup لتطبيق Electron.
التطبيق هو نسخة معدلة من عميل سطح المكتب Grape مفتوح المصدر، مصمم لتحقيق الثبات والتواصل مع خادم عن بعد (“web-telegram[.]ug”) كل 30 ثانية لمعالجة التعليمات الصادرة من المهاجم، بما في ذلك تشغيل JavaScript أو ملفات تنفيذية.
التوصيات للمستخدمين
يوصى لمستخدمي Ghost CMS بتحديث أنظمتهم إلى أحدث إصدار، وتغيير جميع بيانات الاعتماد، وتنظيف المواقع المخترقة، ومراجعة سجلات الوصول بحثًا عن أي نشاط مشبوه. كما يُنصح بإخطار المستخدمين الذين ربما زاروا المواقع خلال فترة التلوث لاحتمالية تعرضهم للاختراق.