ثغرة في البنية التحتية لـ Stripe تحولها إلى خادم قيادة وسيطرة سري للقراصنة

المرحلة الأولى: الحقن عبر Google Tag Manager (مدير العلامات من جوجل)

يبدأ المخترقون باختراق حاوية Google Tag Manager (GTM) الخاصة بالمتجر المستهدف. يقومون بحقن وسم (Tag) خبيث يتم تحميله في كل صفحة من صفحات المتجر، بما في ذلك صفحة إتمام الشراء. ولأن السكريبت يأتي من النطاق الموثوق googletagmanager.com، فإن سياسات أمان المحتوى (CSP) وحتى أدوات حظر الإعلانات تسمح بمروره دون أي إنذار . وهكذا تتحول أداة تحليلية أساسية إلى باب خلفي يصعب اكتشافه.

المرحلة الثانية: استدعاء برمجية الاختراق من خوادم Stripe

بدلاً من تحميل الشفرة الخبيثة من نطاق يملكه المخترقون، فإن الوسم الذي تم حقنه في GTM يطلبها مباشرة من api.stripe.com. المفاجأة أن المخترقين يخزنون سكريبت سرقة البيانات بالكامل داخل حقل بيانات وصفية (metadata) لعميل وهمي في حسابهم الخاص على Stripe باستخدام مفتاح سري خاص بوضع الاختبار (sk_test_...) لاسترجاعه . وهكذا تصل البرمجية الخبيثة إلى صفحة الدفع من نطاق تثق به أنظمة المتجر ضمنياً، فلا تثير أي شكوك في سجلات الشبكة.

المرحلة الثالثة: إرسال البيانات المسروقة إلى نفس الحساب

عندما يقوم المتسوق بإدخال بيانات بطاقته الائتمانية ومعلوماته الشخصية في صفحة الدفع، يقوم السكريبت المحقون بالتقاطها. بدلاً من إرسالها إلى خادم خارجي، يقوم السكريبت بإرسالها مرة أخرى إلى api.stripe.com، ليقوم بتخزينها كسجلات لعملاء مزيفين ضمن نفس حساب المخترقين . وبما أن حركة إرسال البيانات (exfiltration) تعود إلى نفس نطاق الدفع الشرعي، فإنها تختفي وسط آلاف الطلبات الطبيعية التي تجري أثناء عملية الدفع، مما يجعل سرقة البيانات غير مرئية فعلياً لأدوات المراقبة التقليدية وجدران الحماية .

تشير المؤشرات التي رصدها الباحثون إلى أن هذه العملية كانت نشطة منذ 24 ديسمبر 2025 على الأقل .

لماذا تشكل مفاتيح وضع الاختبار خطراً كبيراً؟

مفاتيح Stripe السرية في وضع الاختبار (sk_test_...) تمنح صلاحيات قراءة وكتابة كاملة داخل بيئة الاختبار المعزولة وتسمح بإنشاء عدد غير محدود من العملاء والحقول الوصفية المزيفة دون أي تكلفة مالية . ولأن هذه المفاتيح لا تُجري أي معاملات مالية حقيقية، فإن إساءة استخدامها تمر دون أن يلاحظها أحد في كثير من الأحيان. يعتمد المخترقون على أن الكثير من المؤسسات تتعامل مع مفاتيح الاختبار على أنها "منخفضة الخطورة" ولا تدقق في نشاطها بنفس صرامة التدقيق في البيانات الحية.

ثغرة CVE-2026-3300: تنفيذ أوامر برمجية خطيرة في إضافة WordPress

بينما تستهدف حملة Stripe صفحات إتمام الشراء، يواجه أصحاب مواقع ووردبريس تهديداً عاجلاً بنفس القدر من الخطورة من ثغرة في إضافة يستخدمها الآلاف. تم استغلال هذه الثغرة بنشاط منذ 13 أبريل 2026 .

الثغرة CVE-2026-3300 هي ثغرة من نوع "تنفيذ الأوامر البرمجية عن بعد بدون مصادقة" (Unauthenticated RCE) توجد في إضافة Everest Forms Pro (وهي أداة لبناء النماذج)، والتي لديها حوالي 4,000 تثبيت نشط . تم تصنيف خطورة الثغرة بـ 9.8 على مقياس CVSS، مما يجعلها "حرجة"، وهي تؤثر على جميع الإصدارات حتى 1.9.12 .

جوهر المشكلة يكمن في خاصية "الحسابات المعقدة" (Complex Calculation). عندما يقوم المستخدم بتعبئة نموذج، تأخذ دالة process_filter() القيم المُدخلة من قبل المستخدم وتقوم بدمجها مباشرة داخل نص برمجي بلغة PHP ليتم تنفيذه عبر دالة eval()، وذلك دون "تطهير" (escaping) صحيح . حتى مع استخدام دالة sanitize_text_field() لتنظيف المُدخلات، إلا أنها لا تُبطل مفعول علامات التنصيص المفردة أو الرموز الأخرى التي لها معنى خاص في سياق كود PHP، مما يسمح للمخترق بالخروج من النص المُفترض وحقن أوامره البرمجية الخبيثة .

أفادت شركة Wordfence أنها رصدت وحجبت أكثر من 29,300 محاولة استغلال، حيث يقوم المخترقون بإنشاء حسابات مسؤول (Administrator) غير مصرح بها للسيطرة الكاملة على المواقع المخترقة . على أصحاب المواقع التدقيق في وجود مستخدمين جدد من نوع "مدير" بأسماء غير متوقعة كدليل على الاختراق. أحد الأسماء التي تم رصدها هو "diksimarina"، ولكن قد تظهر أسماء أخرى .

الإجراءات الدفاعية الموصى بها

لمواجهة هجوم Stripe - Magecart

• أحكم السيطرة على Google Tag Manager. قصر حاويات GTM على الوسوم المعتمدة والمدققة فقط، وطبق سياسة موافقة صارمة قبل أي تغيير .
• شدد سياسة أمان المحتوى (CSP). لا تقم بإدراج api.stripe.com في قائمة script-src إلا عند الضرورة القصوى. الأفضل منع السكريبتات المضمنة (inline scripts) تماماً لتقليل سطح الهجوم .
• دقق في نشاط بيئة اختبار Stripe. راقب لوحة تحكم حسابك على Stripe بانتظام بحثاً عن أحجام غير طبيعية لإنشاء كائنات "عملاء" أو كتابة بيانات وصفية تحت مفاتيح وضع الاختبار. عامل أي شذوذ في بيئة الاختبار بنفس جدية الشذوذ في بيئة العمل الحية.
• قم بتدوير وحماية مفاتيح API الخاصة بك. لا تقم أبداً بتضمين مفاتيح Stripe السرية، سواء للاختبار أو للتشغيل الحي، في أكواد JavaScript التي تعمل في متصفح العميل أو في متغيرات GTM أو المستودعات العامة . استبدل فوراً أي مفتاح يُشتبه في تعرضه للاختراق .

لمعالجة ثغرة Everest Forms Pro

• قم بالتحديث فوراً. ثبت الإصدار 1.9.13 أو أي إصدار أحدث من إضافة Everest Forms Pro، والذي يحتوي على الإصلاح .
• عطل الخاصية الخطيرة إذا تأخر التحديث. كحل مؤقت وعاجل، قم بتعطيل خاصية "الحسابات المعقدة" (Complex Calculation) من إعدادات الإضافة لمنع أي استغلال .
• افحص موقعك بحثاً عن علامات الاختراق. ابحث عن حسابات إدارية غير معروفة، وملفات غير متوقعة على الخادم، واستدعاءات مشبوهة لدالة eval()، واتصالات صادرة إلى عناوين IP غير مألوفة. بعد المعالجة، قم بإجراء فحص كامل لسلامة ملفات ووردبريس الأساسية والقوالب والإضافات .