كشفت وحدة استخبارات التهديدات التابعة لشركة “جوجل” في تقرير حديث، عن اختراق أكثر من 14 ألف موقع ووردبريس، واستخدامها كمنصات لنشر برمجيات خبيثة.
وقالت وحدة الاستخبارات إن مجموعة “UNC5142” هي المسئولة عن تلك الاختراقات، لافتة إلى أنها مجموعة تهديد جديدة نسبيًا ظهرت في أواخر عام 2023 وأوقفت نشاطها في أواخر يوليو 2025.
ومن غير المعروف حتى الآن ما إذا كان التوقف مؤقتًا أم دائمًا، أم أن المجموعة قد تحولت ببساطة إلى تقنيات مختلفة، بحسب تقرير لموقع “The Hackers News” المتخصص في أخبار الأمن السيبراني.
ونظرًا لنجاحها السابق في اختراق المواقع الإلكترونية ونشر البرمجيات الخبيثة، تعتقد “جوجل” أن المجموعة قد حسّنت فقط تقنيات التعتيم الخاصة بها ولا تزال تعمل في الخفاء.
وفي هذه الحملة تستهدف “UNC5142” بشكل عشوائي المواقع التي تستخدم نظام إدارة المحتوى “ووردبريس” والتي تكون مُعرضة لخطر الاختراق، لأنها تحتوي على إضافات أو ملفات بها ثغرات، وفي بعض الحالات استهدفت المجموعت قاعدة بيانات ووردبريس نفسها.
كانت هذه المواقع تُحقن بأداة تنزيل جافاسكربت متعددة المراحل أُطلق عليها اسم “CLEARSHOT”، والتي مكّنت من توزيع البرمجيات الخبيثة.
وكانت هذه الأداة تستحضر الحمولة البرمجية الخبيثة من المرحلة الثانية من البلوكشين العام، وغالبًا ما كانت تستخدم شبكة البلوكشين ” BNB Chain”. ويعني هذا أن هذه الأداة كانت تتصل بالبلوكشين لتحميل المرحلة التالية من الهجوم، بدلًا من الاتصال بسيرفر تقليدي يمكن تتبعه بسهولة.
ويرى الباحثون أن استخدام تقنية البلوكشين في هذا السياق أمر لافت للاهتمام، لأنها تعزز من قدرة الهجوم على الصمود وتجعل إيقافه أو تعطيله أكثر صعوبة.
