WordPress 是互聯網上最流行的內容管理系統之一。事實上,超過 43% 在 WordPress 上運行的所有網站。這使得新威脅發起者對 WordPress 網站的最新攻擊更加令人震驚。
根據一個 新展覽 來自 Google 威脅情報小組 (GTIG) 的消息稱,代號為 UNC5142 的新威脅參與者已成功滲透 WordPress 網站,並使用全新技術在網絡上傳播惡意軟件。根據該報告,UNC5142 會發現經常使用有缺陷的 WordPress 主題、插件或數據庫的易受攻擊的 WordPress 網站。
報告稱,臭名昭著的黑客組織在新的洩密事件中對 ICE 和 FBI 官員進行人肉搜索
目標 WordPress 網站將被傳播惡意軟件的多階段 CLEARSHORT JavaScript 下載程序感染。然後,威脅團隊將開發一種名為“EtherHiding”的新技術,該技術由 CLEARSHORT 啟用。
可混搭光速
谷歌將 EtherHiding 描述為“一種通過將惡意代碼或數據放置在公共區塊鏈(例如 BNB 智能鏈)上來隱藏惡意代碼或數據的技術”。這種利用區塊鏈傳播惡意代碼的方式是獨一無二的,並且使得阻止惡意軟件的傳播變得更加困難。
然後,包含區塊鏈上代碼的智能合約將調用 CLEARSHORT 登陸頁面,該頁面通常託管在 Cloudflare 開發人員頁面上,該頁面使用 ClickFix 社交工程策略。這種策略會誘騙網站訪問者通過 Windows 運行對話框或 Mac 終端應用程序在其計算機上執行惡意命令。
據谷歌稱,UNC5142 的攻擊通常是出於經濟動機。 GTIG 表示自 2023 年以來一直在監控 UNC5142。然而,谷歌報告稱 UNC5142 於 2025 年 7 月突然停止了所有活動。
這可能意味著這個已經成功開展惡意軟件活動的新威脅組織剛剛決定退出。或者這可能意味著威脅行為者已經改變了他的技術,成功地混淆了他的最新行為,並且今天仍在破壞易受攻擊的網站。
