وردپرس یکی از محبوبترین سیستمهای مدیریت محتوا در اینترنت است و بیش از 43 درصد از تمام وبسایتها بر پایه وردپرس اجرا میشوند. همین موضوع باعث شده تا حملات سایبری به آن بسیار نگرانکننده باشند و حالا گزارشی درباره هکشدن بیش از 14 هزار وبسایت وردپرسی منتشر شده که در آن هکرها از تکنیک جدیدی استفاده کردهاند.
طبق گزارش جدیدی از بخش امنیت گوگل، هکرهایی با نام رمز UNC5142 با موفقیت وارد وبسایتهای وردپرسی شده و با استفاده از روشی کاملاً جدید، بدافزاری را در سطح وب پخش کردهاند. این گروه معمولاً وبسایتهایی را هدف قرار میدهد که از قالبها، افزونهها یا پایگاهدادههای آسیبپذیر وردپرس استفاده میکردند.
وبسایتهای هدف، با نوعی دانلودر جاوااسکریپتی چندمرحلهای به نام CLEARSHORT آلوده شدهاند که وظیفه توزیع بدافزار را برعهده داشته است. سپس این گروه از تکنیک جدیدی به نام EtherHiding استفاده کرده که توسط CLEARSHORT فعال میشود.
گوگل در گزارش خود تکنیک EtherHiding را اینگونه توصیف میکند:
«روشی برای پنهانسازی کد یا داده مخرب از طریق قراردادن آن در یک بلاکچین عمومی مانند BNB Smart Chain.»
محققان میگویند که استفاده از فناوری بلاکچین برای انتشار کدهای مخرب تکنیکی منحصربهفرد است و متوقفکردن انتشار بدافزار را بسیار دشوارتر میکند.
قرارداد هوشمندی که شامل کد مخرب در بلاکچین است، سپس لندینگپیج CLEARSHORT را فراخوانی میکند، که معمولاً روی یک صفحه Cloudflare میزبانی میشود، و از یک روش مهندسی اجتماعی به نام ClickFix بهره میبرد. این روش بازدیدکننده سایت را فریب میدهد تا از طریق پنجره Run در ویندوز یا ترمینال مک، دستورهای مخربی را روی رایانه خود اجرا کند.
به گفته گوگل، حملات گروه UNC5142 که از سال 2023 زیر ذرهبین غول فناوری بوده، اغلب با انگیزه مالی انجام میشوند. بااینحال، گوگل گزارش داده که UNC5142 از ژوئیه 2025 تمام فعالیتهای خود را متوقف کرده است.
