بیش از ۱۴۰۰۰ وب‌سایت وردپرس هک شدند و بدافزار منتشر شد

به گفته گوگل، هکرها پس از نفوذ به وب‌سایت، با استفاده از روشی جدید، بدافزاری را در سطح وب پخش کرده‌اند.

وردپرس یکی از محبوب‌ترین سیستم‌های مدیریت محتوا در اینترنت است و بیش از 43 درصد از تمام وب‌سایت‌ها بر پایه وردپرس اجرا می‌شوند. همین موضوع باعث شده تا حملات سایبری به آن بسیار نگران‌کننده باشند و حالا گزارشی درباره هک‌شدن بیش از 14 هزار وب‌سایت وردپرسی منتشر شده که در آن هکرها از تکنیک جدیدی استفاده کرده‌اند.

طبق گزارش جدیدی از بخش امنیت گوگل، هکرهایی با نام رمز UNC5142 با موفقیت وارد وب‌سایت‌های وردپرسی شده و با استفاده از روشی کاملاً جدید، بدافزاری را در سطح وب پخش کرده‌اند. این گروه معمولاً وب‌سایت‌هایی را هدف قرار می‌دهد که از قالب‌ها، افزونه‌ها یا پایگاه‌داده‌های آسیب‌پذیر وردپرس استفاده می‌کردند.

روش هک وب‌سایت‌های وردپرس

وب‌سایت‌های هدف، با نوعی دانلودر جاوااسکریپتی چندمرحله‌ای به نام CLEARSHORT آلوده شده‌اند که وظیفه توزیع بدافزار را برعهده داشته است. سپس این گروه از تکنیک جدیدی به نام EtherHiding استفاده کرده که توسط CLEARSHORT فعال می‌شود.

گوگل در گزارش خود تکنیک EtherHiding را این‌گونه توصیف می‌کند:

«روشی برای پنهان‌سازی کد یا داده مخرب از طریق قراردادن آن در یک بلاک‌چین عمومی مانند BNB Smart Chain.»

محققان می‌گویند که استفاده از فناوری بلاک‌چین برای انتشار کدهای مخرب تکنیکی منحصربه‌فرد است و متوقف‌کردن انتشار بدافزار را بسیار دشوارتر می‌کند.

قرارداد هوشمندی که شامل کد مخرب در بلاک‌چین است، سپس لندینگ‌پیج CLEARSHORT را فراخوانی می‌کند، که معمولاً روی یک صفحه Cloudflare میزبانی می‌شود، و از یک روش مهندسی اجتماعی‌ به نام ClickFix بهره می‌برد. این روش بازدیدکننده سایت را فریب می‌دهد تا از طریق پنجره Run در ویندوز یا ترمینال مک، دستورهای مخربی را روی رایانه خود اجرا کند.

به گفته گوگل، حملات گروه UNC5142 که از سال 2023 زیر ذره‌بین غول فناوری بوده، اغلب با انگیزه مالی انجام می‌شوند. بااین‌حال، گوگل گزارش داده که UNC5142 از ژوئیه 2025 تمام فعالیت‌های خود را متوقف کرده است.