وردپرس یکی از محبوبترین سامانههای کنترل محتوا در اینترنت است و بیش از ۴۳ درصد از تمام وبسایتها بر پایهی آن کار میکنند. حملهی یک گروه هکری به وبسایتهای وردپرسی نگرانیهای جدی ایجاد کرده است.
طبق ریپورت جدید گروه اطلاعات تهدید گوگل (GTIG)، هکرهایی با نام رمز UNC5142 با بهرهگیری از روشی تازه، موفق به نفوذ به وبسایتهای وردپرسی و انتشار بدافزار در سراسر وب شدهاند. این گروه معمولاً سایتهایی را هدف میگیرد که دارای نقص ایمنیی در پوستهها، افزونهها یا دیتابیسهای وردپرس هستند.
سایتهای هدف به اسکریپت چندمرحلهای CLEARSHORT آلوده میشوند که وظیفهی دانلود و توزیع بدافزار را دارد. سپس این گروه از روشی جدید به نام EtherHiding استفاده میکند که با کمک CLEARSHORT فعال میشود.
گوگل توضیح میدهد که EtherHiding «تکنیکی برای پنهانکردن کد برنامه یا اطلاعات مخرب با ثبتکردن آن در یک بلاکچین عمومی مانند زنجیرهی هوشمند BNB» است. این استفاده از فناوری بلاکچین برای انتشار کد برنامههای مخرب، روش منحصربهفردی محسوب میشود و مقابله با گسترش بدافزار را دشوارتر میکند.
قرارداد هوشمند حاوی این کد برنامه در بلاکچین، صفحهی فرود CLEARSHORT را فراخوانی میکند که معمولاً روی یک صفحهی توسعهدهنده در کلادفلر میزبانی میشود و از ترفند مهندسی اجتماعی ClickFix بهره میبرد. این ترفند یوزران را فریب میدهد تا با پنجرهی Run در ویندوز یا اپ ترمینال در مک، فرمانهای مخرب را روی سیستم خود اجرا کنند.
به گفتهی گوگل، حملات UNC5142 اغلب با انگیزهی مالی انجام میشوند و این شرکت از سال ۲۰۲۳ گروه مذکور را زیر نظر داشته است. با این حال، فعالیت UNC5142 از جولای ۲۰۲۵ (تیر و مرداد) بهطور ناگهانی متوقف شد.
گوگل میگوید توقف فعالیت ممکن است بهمعنای پایان فعالیت UNC5142 یا شاید نشانهای از تغییر روشهای آن باشد؛ بهگونهای که فعالیتهای تازهی خود را پنهان کند و همچنان در حال نفوذ به وبسایتهای آسیبپذیر باشد.
