CLEARSHORT: دانلودری که 14,000 سایت وردپرس را آلوده کرد

گزارش امنیتی گوگل از هک گسترده بیش از 14,000 وب‌سایت وردپرسی پرده برداشته و روش تازه‌ای را نشان می‌دهد که مهاجمان برای پنهان‌سازی و توزیع بدافزار از بلاک‌چین عمومی استفاده کردند. این حادثه بار دیگر ضعف‌های افزونه‌ها، قالب‌ها و پایگاه‌داده‌های آسیب‌پذیر وردپرس را به‌عنوان درِ ورود مهاجمان به دنیای وب برجسته می‌کند.

گزارش می‌گوید گروهی با نام رمز UNC5142 از یک دانلودر چندمرحله‌ای جاوااسکریپتی به نام CLEARSHORT بهره برده و با تکنیکی مبتکرانه به اسم EtherHiding بدافزار را روی شبکه‌هایی مانند BNB Smart Chain مخفی و سپس توزیع کردند. گوگل همچنین اشاره کرده که این گروه اغلب با انگیزه مالی عمل می‌کند و ظاهراً از ژوئیه 2025 فعالیت‌هایش متوقف شده است.

مهم‌ترین نکات گزارش گوگل

• بیش از 14,000 وب‌سایت وردپرسی آلوده شده‌اند.
• مهاجمان از دانلودر جاوااسکریپتی CLEARSHORT استفاده کردند.
• روش جدید EtherHiding اجازه می‌دهد کد مخرب در یک قرارداد هوشمند بلاک‌چین مخفی شود.
• لندینگ‌پیج‌های مخرب معمولاً روی سرویس‌هایی مانند Cloudflare میزبانی می‌شوند.
• مهندسی اجتماعی ClickFix کاربران را وادار به اجرای دستورات خطرناک می‌کند.

روش حمله: CLEARSHORT و EtherHiding

نوک پیکان هک، یک دانلودر چندمرحله‌ای جاوااسکریپتی به نام CLEARSHORT بود که وظیفه توزیع بدافزار را برعهده داشت. این دانلودر ابتدا کد مخرب را از منابعی فراخوانی می‌کرد که قرارداد هوشمند روی بلاک‌چین آنها را ارجاع می‌داد. سپس با استفاده از مکانیزم EtherHiding داده‌ها یا قطعات کد را از روی بلاک‌چین عمومی خوانده و در مرورگر یا سرور قربانی بازسازی می‌کرد.

این فرآیند چندمرحله‌ای باعث می‌شد شناسایی و مسدودسازی زنجیره حمله به روش‌های سنتی بسیار دشوارتر شود، چون بخشی از داده‌ها در شبکه‌ای توزیع‌شده و تغییرناپذیر ذخیره شده‌اند.

چرا بلاک‌چین مشکل‌ساز شد؟

بلاک‌چین‌های عمومی مانند BNB Smart Chain ماهیتی توزیع‌شده و شفاف دارند؛ همین شفافیت به مهاجمان اجازه می‌دهد داده‌ها را در قراردادها مخفی کنند و سپس از هر نقطه‌ای آن را فراخوانی کنند. نکته نگران‌کننده این است که قراردادهای هوشمند پس از ثبت قابل حذف یا تغییر نیستند؛ بنابراین پاک‌سازی منبع اولیه مخرب عملی نیست یا بسیار پیچیده می‌شود.

علاوه بر این، بررسی محتوای ذخیره‌شده روی بلاک‌چین برای ابزارهای امنیتی معمول وب آسان نیست، چون محتوای قراردادی ممکن است رمزنگاری شده یا پارتیشن‌بندی شده و فقط توسط قطعات مشخصی بازسازی شود.

مهندسی اجتماعی ClickFix و نقش کاربران

پس از آنکه قرارداد روی بلاک‌چین قطعات را فراهم کرد و CLEARSHORT لندینگ‌پیج را فعال نمود، حمله وارد فاز مهندسی اجتماعی شد. روش ClickFix کاربر را فریب می‌دهد تا از طریق پنجره Run در ویندوز یا ترمینال در macOS دستورهایی را اجرا کند که در ظاهر برای تعمیر یا به‌روزرسانی نشان داده می‌شوند.

این تاکتیک نشان می‌دهد حتی سایت‌های معمولی می‌توانند به ابزارهایی برای فریب کاربران تبدیل شوند؛ بنابراین سخت‌افزار، سیستم‌عامل یا مرورگر قربانی در این مرحله نقش تعیین‌کننده ندارند عنصر انسانی هدف‌گیری می‌شود.

چگونه وب‌سایت‌های وردپرسی هدف قرار گرفتند؟

گروه UNC5142 عمدتا سایت‌هایی را هدف می‌گیرد که از افزونه‌ها، قالب‌ها یا پایگاه‌داده‌های دارای آسیب‌پذیری استفاده می‌کنند. مهاجمان معمولا از اکسپلویت‌های شناخته‌شده یا پیکربندی‌های ضعیف برای درج CLEARSHORT در سایت استفاده می‌کنند؛ سپس از توان بلاک‌چین برای پنهان‌سازی و لایه‌ای برای تحویل بدافزار استفاده می‌کنند.

نکته کلیدی این است که حمله ترکیبی است. ضعف سرور/افزونه + دانلودر جاوااسکریپت + قرارداد بلاک‌چین + لندینگ‌پیج و مهندسی اجتماعی مجموعه‌ای که عبور از هر سد دفاعی را دشوار می‌کند.

پیشگیری و واکنش فوری برای مدیران وب

1. به‌روزرسانی مداوم: تمام افزونه‌ها، قالب‌ها و هسته وردپرس را به‌روز نگه دارید.
2. بررسی فایل‌ها: از ابزارهای تحلیل فایل و تغییرات استفاده کنید تا فایل‌های غیرعادی شناسایی شوند.
3. فایروال و WAF: پیاده‌سازی فایروال برنامه وب و قواعدی برای مسدودسازی دانلودرهای شناخته‌شده.
4. آموزش کاربران: هشدار به و آموزش کاربران برای نپذیرفتن پنجره‌های اجرایی ناخواسته.
5. پشتیبان‌گیری آفلاین: مرتب بکاپ بگیرید و آن را خارج از دسترس مستقیم سرور اصلی نگه دارید.

ویژگی‌های کلیدی حمله به سایت های وردپرسی

تجزیه‌وتحلیل گزارش نشان می‌دهد مهاجمان به جای تکیه صرف بر کارخانه‌های بدافزار سنتی، به سمت استفاده از زیرساخت‌های توزیع‌شده (بلاک‌چین) حرکت کرده‌اند تا قابلیت ردیابی و حذف حمله را کاهش دهند. این تحول چند پیامد مهم دارد:

• ابزارهای امنیتی وب سنتی نیازمند بازطراحی‌اند تا توانایی خوانش و تحلیل محتوای قراردادها یا فراخوانی‌های زنجیره‌ای را داشته باشند.
• مهاجمان به تدریج ترکیب تکنیک‌های فناوری (بلاک‌چین) و روانشناسی اجتماعی (ClickFix) را به کار می‌گیرند؛ این یعنی دفاع صرفا فنی کافی نیست و آموزش کاربران باید در اولویت قرار گیرد.
• اگرچه گوگل گزارش داده UNC5142 از ژوئیه 2025 متوقف شده، احتمال برگشت گروه یا ظهور گروه‌های جدید با الگوهای مشابه وجود دارد؛ چرا که ابزارها و تکنیک‌ها اکنون ثبت‌شده و قابل بازتولید هستند.

پیش‌بینی منطقی این است که ظرف 12 تا 24 ماه آینده، انتظار می‌رود مشاهده حملاتی که از سرویس‌های توزیع‌شده برای میزبان کد مخرب استفاده می‌کنند افزایش پیدا کند. در نتیجه، حوزه امنیت سایبری باید استانداردهای جدیدی برای شناسایی فراخوانی‌های زنجیره‌ای و تحلیل قراردادهای هوشمند وضع کند.

جمع‌بندی

گزارش گوگل از هک بیش از 14,000 سایت وردپرسی توسط گروه UNC5142 نشان می‌دهد مهاجمان با ترکیب دانلودر جاوااسکریپتی CLEARSHORT، تکنیک EtherHiding و مهندسی اجتماعی ClickFix، از بلاک‌چین برای پنهان‌سازی و توزیع بدافزار بهره برده‌اند؛ این ترکیب دفاع سنتی وب را بی‌اثر می‌کند و نیاز فوری به به‌روزرسانی ابزارهای امنیتی، آموزش کاربران و بازبینی سیاست‌های میزبانی را نمایان می‌سازد.