Dünyada faaliyet gösteren web sitelerinin yaklaşık %43’ü WordPress altyapısını kullanıyor. Bu durum, WordPress’e yönelik her yeni saldırının internet güvenliği açısından önemli bir tehdit oluşturmasına sebep oluyor.
Google Tehdit İstihbarat Grubu (GTIG) tarafından yayımlanan en son rapor, UNC5142 kod adlı bir hacker grubunun WordPress sitelerine yönelik kapsamlı bir saldırı kampanyası yürüttüğünü gözler önüne serdi.
Rapor, UNC5142’nin zayıf temalar, hatalı eklentiler veya savunmasız veritabanları kullanan WordPress sitelerini tespit ederek hedef aldığını belirtiyor.
Bu hedeflenen sitelere “CLEARSHORT” adlı çok aşamalı bir JavaScript indirici enjekte ediliyor. Bu kötü amaçlı kod, daha sonra zararlı yazılımların internet genelinde yayılmasını tetikliyor.
YENİ TEHDİT TEKNİĞİ
Google, bu saldırıların en dikkat çekici yönü olarak “EtherHiding” adlı yeni bir teknik üzerinde duruyor.
EtherHiding, kötü amaçlı kodu halka açık bir blok zincirine yerleştirerek saklamayı mümkün kılan bir yöntem olarak tanımlanıyor.
Bu teknik, zararlı yazılımların geleneksel yollarla tespit edilmesini neredeyse imkânsız hale getiriyor. Zira blok zinciri üzerindeki kodlar merkezi bir sunucuda bulunmadığından, silinmesi veya engellenmesi oldukça zorlaşıyor.
SOSYAL MÜHENDİSLİK TUZAKLARI
Saldırının sonraki adımında, blok zinciri üzerindeki akıllı sözleşme (smart contract), bir CLEARSHORT açılış sayfası oluşturuyor. Bu sayfa genellikle Cloudflare geliştirme platformları üzerinden barındırılıyor ve “ClickFix” isimli sosyal mühendislik tekniğini kullanıyor.
ClickFix, kullanıcıları aldatmak suretiyle bilgisayarlarında Windows “Çalıştır” penceresi veya Mac Terminal uygulaması aracılığıyla kötü niyetli komutlar çalıştırmaya yönlendiriyor.
FINANSAL AMAÇLI SALDIRILAR
GTIG, UNC5142 grubunun finansal motivasyonlara dayalı saldırılar gerçekleştirdiğini bildiriyor. Bu grup, Google tarafından 2023 yılından itibaren izleniyor. Ancak raporda, UNC5142’nin etkinliklerinin Temmuz 2025’te aniden sona erdiği belirtiliyor.
Bu durum, hacker grubunun faaliyetlerini gerçekten durdurmuş olabileceği gibi, yöntemlerini değiştirerek daha gizli bir şekilde saldırılarına devam ediyor olabileceği anlamına da gelebilir.
14 BİN SİTE HEDEF OLDU
Haziran 2025 itibarıyla GTIG, bu hacker grubu tarafından ele geçirilen bir web sitesi ile ilişkili yaklaşık 14 bin web sayfasında JavaScript buldu.
Kurum, “UNC5142, savunmasız WordPress sitelerini ayırt etmeden hedef alıyor” ifadelerine yer veriyor.
NE YAPMALI?
Siber güvenlik uzmanları, WordPress kullanıcılarını şu konularda dikkatli olmaya teşvik ediyor:
– Eklentilerin ve temaların her daim güncel tutulması,
– Güvenilir olmayan kaynaklardan tema veya eklenti indirilmemesi,
– Site dosyalarının düzenli olarak zararlı yazılım taraması yapılması gerekmektedir.
Google’ın bulguları, siber saldırıların yalnızca klasik virüslerle değil, aynı zamanda blok zinciri teknolojisinin kötüye kullanımıyla yeni bir aşamaya geçtiğini ortaya koyuyor.
