آلوده شدن بیش از 1000 سایت وردپرس توسط درهای پشتی جاوا اسکریپت که امکان دسترسی مهاجمان دائمی را فراهم می‌کنند! - مرکز پژوهشی آپا

بیش از ۱۰۰۰ وب‌سایت مجهز به وردپرس با کد جاوا اسکریپت شخص ثالث که چهار درب پشتی مجزا را تزریق می‌کند آلوده‌شده‌اند.

Himanshu Anand، محقق c/side، در تحلیلی در روز چهارشنبه ۵ مارس ۲۰۲۵ گفت[۱]: «ایجاد چهار درب پشتی، مهاجمانی را که دارای چندین نقطه ورود مجدد هستند، درصورتی‌که یکی شناسایی و حذف شود، تسهیل می‌کند.»

کد جاوا اسکریپت مخرب از طریق cdn.csyndication[.]com ارائه شده است. تا زمان نگارش، ۹۰۸ وب‌سایت[۲] حاوی ارجاعاتی به دامنه موردنظر هستند.

عملکرد چهار درب پشتی در زیر توضیح داده شده است:

Backdoor 1، که یک افزونه جعلی به نام “Ultra SEO Processor” را آپلود و نصب می‌کند که سپس برای اجرای دستورات مهاجم استفاده می‌شود.
Backdoor 2 که جاوا اسکریپت مخرب را به wp-config.php تزریق می‌کند.
Backdoor 3، که یک کلید SSH کنترل‌شده توسط مهاجم را به فایل ~/.ssh/authorized_keys اضافه می‌کند تا امکان دسترسی دائمی از راه دور به دستگاه را فراهم کند.
Backdoor 4 که برای اجرای دستورات از راه دور طراحی‌شده و payload دیگری را از gsocket[.]io fetch می‌کند[۳] تا احتمالاً shell معکوس را باز کند.

برای کاهش خطرات ناشی از این حملات، توصیه می‌شود که کاربران کلیدهای SSH غیرمجاز را حذف کنند، اعتبار مدیریت وردپرس را بچرخانند و گزارش‌های سیستم را برای فعالیت مشکوک نظارت کنند.

این توسعه زمانی اتفاق می‌افتد که یک شرکت امنیت سایبری به‌تفصیل توضیح داد[۴] که یک کمپین بدافزار دیگر بیش از ۳۵۰۰۰ وب‌سایت را با جاوا اسکریپت مخرب به خطر انداخته است که “پنجره مرورگر کاربر را کاملاً ربوده است” تا بازدیدکنندگان سایت را به پلتفرم‌های قمار به زبان چینی هدایت کند.

«به نظر می‌رسد این حمله مناطقی را هدف قرار می‌دهد که در آن Mandarin رایج است و صفحات فرود نهایی محتوای قمار را با نام تجاری «Kaiyun» ارائه می‌کنند.

تغییر مسیرها از طریق جاوا اسکریپت میزبانی‌شده در پنج دامنه مختلف انجام می‌شود که به‌عنوان بارگیری برای بار اصلی مسئول انجام تغییر مسیرها عمل می‌کند:

mlbetjs[.]com
ptfafajs[.]com
zuizhongs[.]com
jbwzzzjs[.]com
jpbkte[.]com

این یافته‌ها همچنین به دنبال گزارش جدیدی از Group-IB در مورد یک عامل تهدید به نام ScreamedJungle است که یک جاوا اسکریپت با نام کد Bablosoft JS را به وب‌سایت‌های Magento در معرض خطر تزریق می‌کند تا اثرانگشت کاربران بازدیدکننده را جمع‌آوری کند. اعتقاد بر این است که تا به امروز بیش از ۱۱۵ سایت تجارت الکترونیک تحت تأثیر قرارگرفته‌اند.

این شرکت سنگاپوری گفت[۵] اسکریپت تزریق‌شده “بخشی از مجموعه Bablosoft BrowserAutomationStudio (BAS) است[۶] و افزود که “شامل چندین عملکرد دیگر برای جمع‌آوری اطلاعات در مورد سیستم و مرورگر کاربرانی است که از وب‌سایت در معرض خطر بازدید می‌کنند.”

گفته می‌شود که مهاجمان از آسیب‌پذیری‌های شناخته‌شده‌ای که بر نسخه‌های آسیب‌پذیر Magento (مانند CVE-2024-34102 با نام مستعار CosmicSting و CVE-2024-20720) تأثیر می‌گذارند[۷]، برای نفوذ به وب‌سایت‌ها بهره‌برداری می‌کنند. این بازیگر با انگیزه مالی برای اولین بار در اواخر ماه مه ۲۰۲۴ در سطح اینترنت کشف شد.

Group-IB گفت: «انگشت‌نگاری مرورگر یک تکنیک قدرتمند است که معمولاً توسط وب‌سایت‌ها برای ردیابی فعالیت‌های کاربر و تنظیم استراتژی‌های بازاریابی استفاده می‌شود. بااین‌حال، این اطلاعات نیز توسط مجرمان سایبری برای تقلید از رفتار قانونی کاربران، فرار از اقدامات امنیتی و انجام فعالیت‌های متقلبانه مورد بهره‌برداری قرار می‌گیرد.»

منابع

[۱] https://cside.dev/blog/thousands-of-websites-hit-by-four-backdoors-in-3rd-party-javascript-attack

[۲] https://publicwww.com/websites/csyndication.com

[۳] https://thehackernews.com/2025/01/python-based-bots-exploiting-php.html

[۴] https://cside.dev/blog/over-35-000-websites-targeted-in-full-page-hijack-linking-to-a-chinese-language-gambling-scam

[۵] https://www.group-ib.com/blog/fingerprint-heists

[۶] https://thehackernews.com/2022/05/hackers-increasingly-using-browser.html

[۷] https://thehackernews.com/2024/10/alert-adobe-commerce-and-magento-stores.html

[۸] https://thehackernews.com/2025/03/over-1000-wordpress-sites-infected-with.html