هجوم JSFireTruck بلغة JavaScript يصيب أكثر من 269,000 صفحة ويب في عام 2025

الرئيسيةالأخبار* حدد الباحثون حملة واسعة النطاق تستخدم JavaScript مموهة للإصابة بمواقع الويب الشرعية.

• الحملة، التي تحمل اسم “JSFireTruck”، تستخدم تقنية ترميز غامضة لإخفاء الغرض الحقيقي من الشيفرة.
• المواقع المهددة تعيد توجيه المستخدمين القادمين من محركات البحث إلى روابط ضارة قد توصل إلى البرمجيات الخبيثة أو الاحتيالات.
• تم الإبلاغ عن إصابة ما يقرب من 270,000 صفحة ويب بين مارس وأبريل 2025، مع ارتفاع كبير في منتصف أبريل.
• يتم استخدام خدمة منفصلة، HelloTDS، لإعادة توجيه المستخدمين بشكل مشروط إلى عمليات الاحتيال مثل تحديثات المتصفح الزائفة والاحتيالات المتعلقة بالعملات المشفرة. أبلغ خبراء الأمن السيبراني عن هجوم واسع النطاق يصيب المواقع الشرعية بشيفرة JavaScript مخفية. الحملة تقوم بتوجيه المستخدمين بنشاط إلى صفحات خطيرة إذا وصلوا من محركات البحث الشهيرة، مما يزيد من خطر التعرض للبرمجيات الضارة أو الاحتيال.

• إعلان - أظهرت أبحاث من وحدة 42 في بالو ألتو نتوركس العثور على 269,552 صفحة ويب مصابة بجافا سكريبت مشوش بين 26 مارس و25 أبريل 2025. شهد يوم واحد في أبريل أكثر من 50,000 صفحة مخترقة. يعتمد الكود غير الآمن على طريقة تُعرف باسم “JSFuck”، وهي نهج يكتب البرامج باستخدام عدد قليل من الأحرف لجعل الاكتشاف والتحليل أكثر صعوبة.

وفقًا للباحثين في الأمن هارديك شاه، براد دانكن، وبرanay كومار تشاباروال، لاحظ الفريق أن العديد من المواقع تحتوي على JavaScript خبيث باستخدام تقنية فريدة تسمى JSFireTruck. يتحقق الكود المُضاف مما إذا كان الزوار يصلون من محركات بحث مثل Google أو Bing أو DuckDuckGo أو Yahoo! أو AOL. إذا كانوا كذلك، فإنه يعيد توجيههم إلى مواقع ضارة يمكن أن توصل برامج ضارة أو مجموعات استغلال أو إعلانات احتيالية. “يخفي تشويش الكود الهدف الحقيقي له، مما يعيق التحليل،” أوضح المؤلفون. تشير الإصابات المنتشرة إلى جهد منسق لاستخدام المواقع الحقيقية كأدوات لمزيد من الهجمات.

التقرير يسلط الضوء أيضًا على ظهور “HelloTDS”، وهي خدمة توزيع حركة المرور التي تختار أي احتيال يظهر للضحية بناءً على تفاصيل جهازها. Gen Digital وصفت كيف أن HelloTDS تقدم ألغاز CAPTCHA مزيفة، واحتيالات دعم فني، وترقيات متصفح زائفة، واحتيالات تتعلق بالعملات المشفرة باستخدام كود JavaScript مستضاف على مواقع بعيدة. يتم فحص الضحايا باستخدام معلومات مثل موقعهم، عنوان IP الخاص بهم، وسلوك المتصفح. إذا لم يتطابق المستخدم مع شروط هجوم معينة، يقوم الكود بإرسالهم إلى محتوى آمن بدلاً من ذلك.

لاحظ الباحثون فويتشيك كريسا وميلان شبيكا أن المهاجمين غالبًا ما يتنكرون في أنشطتهم على مواقع البث، ومنصات تبادل الملفات، أو من خلال الإعلانات الضارة. تستخدم بعض المخططات أسئلة خداعية للحصول على موافقة المستخدمين لتشغيل برامج ضارة، مثل PEAKLIGHT، المعروفة بسرقة المعلومات الحساسة.

تستند البنية التحتية الداعمة لـ HelloTDS بشكل أساسي إلى استخدام نطاقات المستوى الأعلى العامة مثل .top و .shop و .com لاستضافة الشفرات الضارة. تتضمن الحملات تكتيكات متقدمة مثل بصمة المتصفح وتغيير النطاقات لتجنب الكشف، مما يجعل من الصعب على أدوات الأمان حظر الهجمات.

للمزيد، راجع التحليل الأصلي من Palo Alto Networks Unit 42 هنا و تفاصيل Gen Digital عن HelloTDS هنا. يمكن العثور على معلومات حول تقنية JSFuck في هذا المورد.

• إعلان - #### المقالات السابقة:

• أمازون وول مارت يعتبران العملات المستقرة بينما يواجه قانون GENIUS تصويتًا في مجلس الشيوخ
• العملات الرقمية تدخل التيار الرئيسي: الكازينوهات، المدفوعات، والنمو العالمي
• البيتكوين يتراجع بعد تصادم إسرائيل وإيران، والأسواق تنتظر تحديث البيت الأبيض
• انخفض مؤشر CoinDesk 20 بنسبة 4.4%، ولا توجد أصول في المنطقة الخضراء اليوم
• دون كيشوت بيرنت PPIH تطلق سندات رقمية موجهة للشباب

• إعلان -