وردپرس ستون فقرات بخش بزرگی از اینترنت است؛ بیش از ۴۳ درصد از کل وبسایتهای دنیا بر پایهی آن ساخته شدهاند. محبوبیت زیاد این پلتفرم، آن را به هدفی جذاب برای هکرها تبدیل کرده است. در تازهترین گزارش امنیتی، بیش از ۱۴ هزار وبسایت وردپرسی قربانی حملهی پیچیدهای شدند که با ترکیب فناوری بلاک چین و بدافزار، شیوهی تازهای از نفوذ را به نمایش گذاشته است.
در این حمله، گروهی از هکرها با نام مستعار UNC5142 از روشهایی نو برای پنهانسازی کدهای مخرب استفاده کردند. این حمله نه تنها یکی از گستردهترین حملات سال ۲۰۲۵ به شمار میرود، بلکه از نظر فنی نیز نقطهی عطفی در استفادهی مجرمان سایبری از فناوری بلاک چین محسوب میشود.
پشت پرده حمله؛ نفوذ از طریق نقص های کوچک در افزونه ها و پوسته ها
بیشتر مدیران وبسایتها گمان میکنند اگر رمز عبور قوی و گواهی امنیتی SSL داشته باشند، سایتشان امن است. اما واقعیت این است که بیشتر نفوذها از طریق افزونهها، پوستهها و پایگاه دادههای آسیبپذیر انجام میشود.
بر اساس گزارش گروه اطلاعات تهدید گوگل (GTIG)، هکرهای UNC5142 با شناسایی همین نقاط ضعف، موفق شدند کنترل هزاران وبسایت را بهدست آورند. آنها از اسکریپتی چندمرحلهای با نام CLEARSHORT برای بارگذاری بدافزار استفاده کردند. این اسکریپت وظیفه دارد ابتدا فایلهای آلوده را در سایت قربانی قرار دهد و سپس ارتباطی پنهانی با شبکهی هکرها برقرار کند تا فرمانهای جدید دریافت کند.
طبق یافتههای گوگل، این حملات از اواخر سال ۲۰۲۴ آغاز شد و در نیمهی نخست ۲۰۲۵ به اوج رسید. بسیاری از سایتهای آلوده از قالبهای رایگان وردپرس یا افزونههای قدیمی استفاده میکردند که بهروزرسانی امنیتی دریافت نکرده بودند.
روش EtherHiding؛ بلاک چین به عنوان مخفیگاه کدهای آلوده
در مرحلهی دوم حمله، هکرها از روشی نوآورانه به نام EtherHiding بهره بردند. این روش، یکی از خلاقانهترین تکنیکهای پنهانسازی بدافزار است که در آن دادههای مخرب در بستر یک بلاک چین عمومی ذخیره میشوند.
در این شیوه، به جای ذخیرهسازی کد در سرورهای سنتی که قابل شناسایی و مسدود کردن هستند، هکرها اطلاعات آلوده را داخل قراردادهای هوشمند در شبکهی BNB Smart Chain قرار میدهند. از آنجا که بلاک چین غیرقابل تغییر است، حذف یا ردیابی این دادهها تقریباً غیرممکن میشود.
گوگل در گزارش خود توضیح داده است که این نوع استفاده از بلاک چین برای انتشار بدافزار، چالشی جدید برای صنعت امنیت سایبری ایجاد میکند. در واقع فناوریای که برای شفافیت و امنیت طراحی شده بود، حالا در دستان مهاجمان دیجیتال به ابزاری برای پنهانکاری تبدیل شده است.
مهندسی اجتماعی و ترفند ClickFix؛ فریب در قالب یک فرمان ساده
یکی از بخشهای هوشمندانه اما خطرناک این حمله، استفاده از ترفند مهندسی اجتماعی ClickFix بود. در این روش، کاربران به بازدید از صفحهای هدایت میشوند که ظاهراً مربوط به بروزرسانی سیستم یا فعالسازی دسترسی نرمافزار است.
کاربر با یک پیام جعلی روبهرو میشود که از او میخواهد دستور خاصی را در پنجرهی Run در ویندوز یا برنامهی ترمینال در مک وارد کند. اجرای این فرمان به ظاهر بیضرر، در واقع باعث نصب بدافزار و باز شدن در پشتی برای مهاجمان میشود.
به گفتهی کارشناسان امنیت سایبری، این حملات نشان میدهد که حتی کاربران محتاط هم میتوانند قربانی شوند، زیرا ترفندها بهقدری واقعگرایانه طراحی شدهاند که تشخیص جعلی بودن آنها دشوار است.
اهداف مالی و توقف ناگهانی فعالیت گروه UNC5142
گزارش گوگل تأیید میکند که انگیزهی اصلی حملات UNC5142 مالی بوده است. این گروه با هدایت ترافیک کاربران به صفحات جعلی تبلیغاتی و سایتهای آلوده، درآمد بهدست میآوردند و همزمان دادههای حساس کاربران را سرقت میکردند.
فعالیت این گروه از سال ۲۰۲۳ زیر نظر بوده، اما از ماه ژوئیه ۲۰۲۵ بهطور ناگهانی متوقف شد. هنوز مشخص نیست که این توقف بهمعنای پایان کار آنهاست یا تغییر استراتژی برای آغاز فاز جدیدی از حملات سایبری. برخی کارشناسان معتقدند UNC5142 ممکن است در حال انتقال زیرساخت خود به شبکههای غیرمتمرکزتر باشد تا ردیابی فعالیتهایش دشوارتر شود.
تأثیر این حمله بر امنیت وردپرس و کاربران اینترنت
وردپرس همیشه یکی از هدفهای محبوب مجرمان سایبری بوده است، اما ترکیب بلاک چین و بدافزار در این حمله، سطح تهدید را وارد مرحلهای تازه کرد. این نوع حملات نشان میدهد که مهاجمان در حال استفاده از فناوریهای پیشرفته برای پنهانکردن رد پای خود هستند.
کارشناسان امنیت پیشنهاد میکنند مدیران سایتها افزونهها و پوستههای خود را بهطور منظم بهروزرسانی کنند، از افزونههای ناشناخته یا کرک شده استفاده نکنند و همیشه پشتیبان روزانه از اطلاعات خود بگیرند.
همچنین فعالسازی احراز هویت دومرحلهای و استفاده از فایروال وب میتواند بسیاری از این تهدیدها را کاهش دهد.
نتیجه گیری
حملهی گستردهی UNC5142 تنها یک هشدار نیست، بلکه نشانهای از تغییر نسل در حملات سایبری است. مهاجمان دیگر تنها به روشهای سنتی مانند فیشینگ و ویروسها بسنده نمیکنند؛ آنها اکنون از فناوریهایی مانند بلاک چین، هوش مصنوعی و رمزنگاری برای ساخت شبکههایی غیرقابلردیابی استفاده میکنند.
این ماجرا یادآور این حقیقت است که امنیت در فضای مجازی دیگر یک گزینه نیست، بلکه ضرورتی دائمی است. همانطور که فناوریها هوشمندتر میشوند، تهدیدها نیز هوشمندتر خواهند شد؛ و تنها با آگاهی، آموزش و بهروزرسانی مداوم میتوان از این رقابت بیپایان جان سالم به در برد.