受感染WordPress网站传播恶意软件，黑客利用区块链智能合约

“现在受感染的WordPress网站正成为黑客传播恶意软件的媒介。”

一个代号为UNC5142的出于经济动机的威胁组织，被发现滥用区块链智能合约来帮助传播信息窃取恶意软件，如Atomic（AMOS）、Lumma、Rhadamanthys（也称为RADTHIEF）和Vidar，同时针对Windows和Apple macOS计算机。

谷歌威胁情报小组（GTIG）、The Hacker News报告

“使用受感染的WordPress网站和’EtherHiding’（一种通过将恶意代码或数据放在公共区块链如BNB智能链上来隐藏它们的方法）是UNC5142的特征。”

为了提高操作敏捷性，该威胁组织的活动在过去一年中发生了重大变化。在2024年11月，他们从单合约系统转向了更先进的三智能合约系统，并在今年1月初注意到了进一步的改进。

“代理模式，一种开发者用来使其合约可升级的有效软件设计范式，被适应到这种新架构中。”

“该配置作为一个非常有效的路由器-逻辑-存储架构工作，每个合约分配有特定任务。这种策略使得能够快速调整关键攻击组件，如着陆页URL或解密密钥，而无需更改被劫持网站上的JavaScript。因此，这些活动更加灵活且不易被清除。”

“主要基础设施，以其早期建立和持续不断的升级为特点，是基本的活动基础设施。”

为了支持活动量的特定激增、测试新的诱饵或仅仅提高操作弹性，“次要基础设施作为一个平行的、更具战术性的部署出现。”

“考虑到感染链的定期更新、稳定的操作节奏、大量受感染的网站以及过去一年半中传播的恶意软件载荷的多样性，UNC5142很可能在其活动中取得了一定程度的成功。”

根据谷歌的数据，截至2025年6月，已识别出超过14,000个注入了JavaScript的网页，其行为与UNC5142相关，表明其无差别地针对易受攻击的WordPress网站。

这家IT公司确实指出，自2025年7月23日以来未观察到任何UNC5142的活动，这可能表明其暂停活动或改变了策略。

2023年10月，Guardio Labs发布了EtherHiding的初步文档，其中描述了使用币安智能链（BSC）合约通过受感染的网站提供恶意代码的攻击，这些网站显示虚假的浏览器更新警报。

一个名为CLEARSHORT的多阶段JavaScript下载器是支持攻击链的关键组成部分，它使得病毒能够通过受感染的网站传播。

为了进入第二阶段，必须与第一步（即注入到网站中的JavaScript恶意软件）进行交互，该恶意软件与存储在BNB智能链（BSC）区块链上的恶意智能合约交互。

恶意软件的第一步被注入到主题文件、插件相关文件，有时甚至是WordPress数据库本身。

就其本身而言，智能合约负责从外部服务器检索CLEARSHORT着陆页。然后，该服务器使用ClickFix社交工程技术诱骗受害者在Windows运行对话框（或Mac上的终端应用程序）中执行恶意命令，从而使窃取恶意软件能够感染系统。

截至2024年12月，通常托管在Cloudflare开发页面上的着陆页是以加密方式检索的。

在Windows系统上，恶意命令涉及运行从MediaFire URL下载的HTML应用程序（HTA）文件。然后，它启动PowerShell脚本以规避安全措施，从MediaFire或GitHub（有时是他们自己的基础设施）检索加密的最终载荷，并在内存中启动窃取程序，而不将工件写入磁盘。

攻击者在2025年2月和4月针对macOS的攻击中，使用ClickFix诱饵诱骗用户在终端上运行bash命令，该命令获取一个shell脚本。

然后，该脚本使用curl命令从远程服务器检索Atomic Stealer载荷。

根据评估，CLEARSHORT是ClearFake的一个变种，法国网络安全公司Sekoia在2025年3月对其进行了彻底调查。ClearFake是一个恶意的JavaScript框架，用于在受感染的网站上通过路过式下载传播恶意软件。

已知其自2023年7月开始运作，并在2024年5月，攻击开始使用ClickFix。滥用区块链有多重好处，因为这种巧妙的方法不仅与真实的Web3活动集成，还使UNC5142的操作更能抵抗发现和清除尝试。

为此，UNC5142利用了智能合约数据的可塑性。重要的是要记住，一旦程序代码发布，就无法更改以改变载荷URL，这需要他们支付0.25美元到1.50美元不等的网络费用。

随后的调查显示，该威胁组织使用两种不同的智能合约基础设施，通过CLEARSHORT下载器分发窃取恶意软件。主要基础设施据称创建于2024年11月24日，而平行的次要基础设施则于2025年2月18日获得资金。