گزارش امنیتی گوگل از هک گسترده بیش از 14,000 وبسایت وردپرسی پرده برداشته و روش تازهای را نشان میدهد که مهاجمان برای پنهانسازی و توزیع بدافزار از بلاکچین عمومی استفاده کردند. این حادثه بار دیگر ضعفهای افزونهها، قالبها و پایگاهدادههای آسیبپذیر وردپرس را بهعنوان درِ ورود مهاجمان به دنیای وب برجسته میکند.
گزارش میگوید گروهی با نام رمز UNC5142 از یک دانلودر چندمرحلهای جاوااسکریپتی به نام CLEARSHORT بهره برده و با تکنیکی مبتکرانه به اسم EtherHiding بدافزار را روی شبکههایی مانند BNB Smart Chain مخفی و سپس توزیع کردند. گوگل همچنین اشاره کرده که این گروه اغلب با انگیزه مالی عمل میکند و ظاهراً از ژوئیه 2025 فعالیتهایش متوقف شده است.
مهمترین نکات گزارش گوگل
- بیش از 14,000 وبسایت وردپرسی آلوده شدهاند.
- مهاجمان از دانلودر جاوااسکریپتی CLEARSHORT استفاده کردند.
- روش جدید EtherHiding اجازه میدهد کد مخرب در یک قرارداد هوشمند بلاکچین مخفی شود.
- لندینگپیجهای مخرب معمولاً روی سرویسهایی مانند Cloudflare میزبانی میشوند.
- مهندسی اجتماعی ClickFix کاربران را وادار به اجرای دستورات خطرناک میکند.
روش حمله: CLEARSHORT و EtherHiding
نوک پیکان هک، یک دانلودر چندمرحلهای جاوااسکریپتی به نام CLEARSHORT بود که وظیفه توزیع بدافزار را برعهده داشت. این دانلودر ابتدا کد مخرب را از منابعی فراخوانی میکرد که قرارداد هوشمند روی بلاکچین آنها را ارجاع میداد. سپس با استفاده از مکانیزم EtherHiding دادهها یا قطعات کد را از روی بلاکچین عمومی خوانده و در مرورگر یا سرور قربانی بازسازی میکرد.
این فرآیند چندمرحلهای باعث میشد شناسایی و مسدودسازی زنجیره حمله به روشهای سنتی بسیار دشوارتر شود، چون بخشی از دادهها در شبکهای توزیعشده و تغییرناپذیر ذخیره شدهاند.
چرا بلاکچین مشکلساز شد؟
بلاکچینهای عمومی مانند BNB Smart Chain ماهیتی توزیعشده و شفاف دارند؛ همین شفافیت به مهاجمان اجازه میدهد دادهها را در قراردادها مخفی کنند و سپس از هر نقطهای آن را فراخوانی کنند. نکته نگرانکننده این است که قراردادهای هوشمند پس از ثبت قابل حذف یا تغییر نیستند؛ بنابراین پاکسازی منبع اولیه مخرب عملی نیست یا بسیار پیچیده میشود.
علاوه بر این، بررسی محتوای ذخیرهشده روی بلاکچین برای ابزارهای امنیتی معمول وب آسان نیست، چون محتوای قراردادی ممکن است رمزنگاری شده یا پارتیشنبندی شده و فقط توسط قطعات مشخصی بازسازی شود.
مهندسی اجتماعی ClickFix و نقش کاربران
پس از آنکه قرارداد روی بلاکچین قطعات را فراهم کرد و CLEARSHORT لندینگپیج را فعال نمود، حمله وارد فاز مهندسی اجتماعی شد. روش ClickFix کاربر را فریب میدهد تا از طریق پنجره Run در ویندوز یا ترمینال در macOS دستورهایی را اجرا کند که در ظاهر برای تعمیر یا بهروزرسانی نشان داده میشوند.
این تاکتیک نشان میدهد حتی سایتهای معمولی میتوانند به ابزارهایی برای فریب کاربران تبدیل شوند؛ بنابراین سختافزار، سیستمعامل یا مرورگر قربانی در این مرحله نقش تعیینکننده ندارند عنصر انسانی هدفگیری میشود.
چگونه وبسایتهای وردپرسی هدف قرار گرفتند؟
گروه UNC5142 عمدتا سایتهایی را هدف میگیرد که از افزونهها، قالبها یا پایگاهدادههای دارای آسیبپذیری استفاده میکنند. مهاجمان معمولا از اکسپلویتهای شناختهشده یا پیکربندیهای ضعیف برای درج CLEARSHORT در سایت استفاده میکنند؛ سپس از توان بلاکچین برای پنهانسازی و لایهای برای تحویل بدافزار استفاده میکنند.
نکته کلیدی این است که حمله ترکیبی است. ضعف سرور/افزونه + دانلودر جاوااسکریپت + قرارداد بلاکچین + لندینگپیج و مهندسی اجتماعی مجموعهای که عبور از هر سد دفاعی را دشوار میکند.
پیشگیری و واکنش فوری برای مدیران وب
- بهروزرسانی مداوم: تمام افزونهها، قالبها و هسته وردپرس را بهروز نگه دارید.
- بررسی فایلها: از ابزارهای تحلیل فایل و تغییرات استفاده کنید تا فایلهای غیرعادی شناسایی شوند.
- فایروال و WAF: پیادهسازی فایروال برنامه وب و قواعدی برای مسدودسازی دانلودرهای شناختهشده.
- آموزش کاربران: هشدار به و آموزش کاربران برای نپذیرفتن پنجرههای اجرایی ناخواسته.
- پشتیبانگیری آفلاین: مرتب بکاپ بگیرید و آن را خارج از دسترس مستقیم سرور اصلی نگه دارید.
ویژگیهای کلیدی حمله به سایت های وردپرسی
| ویژگی | توضیح کوتاه |
| مهاجم | UNC5142 |
| تعداد سایتهای آلوده | 14,000+ |
| دانلودر | CLEARSHORT (جاوااسکریپتی، چندمرحلهای) |
| تکنیک پنهانسازی | EtherHiding (قرار دادن داده در قرارداد هوشمند) |
| بلاکچین مورد استفاده | BNB Smart Chain (نمونه گزارش) |
| میزبان لندینگپیج | صفحات روی سرویسهایی مانند Cloudflare |
| روش مهندسی اجتماعی | ClickFix (فریب برای اجرای دستورات) |
| انگیزه | اغلب مالی |
| وضعیت فعالیت | تا ژوئیه 2025 گزارش فعالیت داشته؛ گوگل اعلام کرده گروه متوقف شده است |
تجزیهوتحلیل گزارش نشان میدهد مهاجمان به جای تکیه صرف بر کارخانههای بدافزار سنتی، به سمت استفاده از زیرساختهای توزیعشده (بلاکچین) حرکت کردهاند تا قابلیت ردیابی و حذف حمله را کاهش دهند. این تحول چند پیامد مهم دارد:
- ابزارهای امنیتی وب سنتی نیازمند بازطراحیاند تا توانایی خوانش و تحلیل محتوای قراردادها یا فراخوانیهای زنجیرهای را داشته باشند.
- مهاجمان به تدریج ترکیب تکنیکهای فناوری (بلاکچین) و روانشناسی اجتماعی (ClickFix) را به کار میگیرند؛ این یعنی دفاع صرفا فنی کافی نیست و آموزش کاربران باید در اولویت قرار گیرد.
- اگرچه گوگل گزارش داده UNC5142 از ژوئیه 2025 متوقف شده، احتمال برگشت گروه یا ظهور گروههای جدید با الگوهای مشابه وجود دارد؛ چرا که ابزارها و تکنیکها اکنون ثبتشده و قابل بازتولید هستند.
پیشبینی منطقی این است که ظرف 12 تا 24 ماه آینده، انتظار میرود مشاهده حملاتی که از سرویسهای توزیعشده برای میزبان کد مخرب استفاده میکنند افزایش پیدا کند. در نتیجه، حوزه امنیت سایبری باید استانداردهای جدیدی برای شناسایی فراخوانیهای زنجیرهای و تحلیل قراردادهای هوشمند وضع کند.
جمعبندی
گزارش گوگل از هک بیش از 14,000 سایت وردپرسی توسط گروه UNC5142 نشان میدهد مهاجمان با ترکیب دانلودر جاوااسکریپتی CLEARSHORT، تکنیک EtherHiding و مهندسی اجتماعی ClickFix، از بلاکچین برای پنهانسازی و توزیع بدافزار بهره بردهاند؛ این ترکیب دفاع سنتی وب را بیاثر میکند و نیاز فوری به بهروزرسانی ابزارهای امنیتی، آموزش کاربران و بازبینی سیاستهای میزبانی را نمایان میسازد.