По данным исследователей GoDaddy, около 1980 сайтов на базе WordPress оказались заражены многоступенчатой малварью, которая использует профили Steam Community в качестве канала управления. Вредонос применяет стеганографию на основе невидимых Unicode-символов для скрытой передачи адресов полезной нагрузки, а на финальном этапе разворачивает полноценный серверный бэкдор с удалённым выполнением PHP-кода. Кампания, как сообщается, активна как минимум с июля 2025 года. Владельцам WordPress-ресурсов рекомендуется немедленно проверить логи на обращения к Steam Community и домену hello-mywordl[.]info.
Механизм атаки: от невидимых символов до удалённого выполнения кода
Начальный вектор компрометации на данный момент не установлен. Исследователи предполагают несколько возможных сценариев: кража учётных данных администраторов или FTP/SFTP, компрометация цепочки поставок, а также эксплуатация уязвимых тем и плагинов WordPress. Отсутствие подтверждённого вектора означает, что стандартные меры защиты — обновление плагинов, смена паролей, ограничение доступа — остаются актуальными одновременно.
После получения доступа злоумышленники внедряют первый компонент вредоноса, который при загрузке страниц обращается к определённым профилям Steam Community. Ключевая особенность кампании — способ передачи управляющих данных. Комментарии в профилях Steam выглядят как обычный текст, однако содержат невидимые Unicode-символы, несущие закодированную полезную нагрузку.
Шесть символов стеганографии
Для кодирования данных атакующие используют шесть конкретных Unicode-символов:
- U+200C — Zero-width non-joiner
- U+200D — Zero-width joiner
- U+2061 — Function application
- U+2062 — Invisible times
- U+2063 — Invisible separator
- U+2064 — Invisible plus
Вредонос полностью игнорирует видимый текст комментария и обрабатывает только эти символы, преобразуя их последовательность в бинарные данные. Такой подход примечателен тем, что шесть символов позволяют кодировать чуть более 2,5 бит на символ (log₂6 ≈ 2,58), что достаточно для компактной передачи URL или коротких команд, при этом оставаясь полностью невидимым для человека, просматривающего профиль Steam.
После декодирования малварь извлекает адрес домена hello-mywordl[.]info, откуда загружает JavaScript-код. Этот скрипт внедряется во все страницы заражённого сайта. Для маскировки используются имена файлов, имитирующие легитимные библиотеки: asahi-jquery-min-bundle и lodash.core.min.js.
Серверный бэкдор
На заключительном этапе на сервере разворачивается бэкдор, ожидающий специально сформированные POST-запросы. Активация происходит только при наличии определённого аутентификационного cookie — без него бэкдор остаётся неактивным, что затрудняет обнаружение при сканировании. При успешной аутентификации злоумышленники получают возможность передавать на сервер PHP-код в кодировке Base64 и выполнять его удалённо. Фактически это даёт полный контроль над сервером.
Техники уклонения от обнаружения
Кампания демонстрирует продуманный набор методов маскировки. По данным исследователей GoDaddy, вредонос использует обфускацию строк через шестнадцатеричные и восьмеричные последовательности, случайно генерируемые имена функций, а также активное использование стандартных API WordPress. Последний приём особенно эффективен: вредоносная активность смешивается с легитимными вызовами WordPress, что делает её практически неотличимой от нормальной работы CMS при анализе логов без специализированных инструментов.
Выбор Steam Community в качестве управляющей инфраструктуры — ещё один уровень маскировки. Трафик к Steam не вызывает подозрений у большинства систем фильтрации, а сама платформа не контролируется злоумышленниками напрямую, что усложняет блокировку на стороне защитников. При этом атакующие могут оперативно менять содержимое комментариев, обновляя адреса полезной нагрузки без необходимости повторного доступа к заражённым сайтам.
Оценка воздействия
Масштаб в ~1980 заражённых сайтов, по данным одного источника, указывает на массовую автоматизированную кампанию. WordPress занимает более 40% рынка CMS, и заражённые ресурсы могут принадлежать к самым разным отраслям — от малого бизнеса до медиа и электронной коммерции. Наличие полноценного бэкдора с удалённым выполнением кода означает, что скомпрометированные серверы могут использоваться для дальнейших атак: размещения фишинговых страниц, перенаправления посетителей на вредоносные ресурсы, кражи данных из баз WordPress или использования серверных мощностей для проксирования трафика.
Индикаторы компрометации и рекомендации
Для выявления заражения следует проверить следующие индикаторы:
- Исходящие запросы к доменам Steam Community (steamcommunity.com) из серверных скриптов
- Соединения с доменом hello-mywordl[.]info
- Подозрительные JavaScript-файлы с именами, имитирующими популярные библиотеки (
asahi-jquery-min-bundle,lodash.core.min.js) - Наличие невидимых Unicode-символов (U+200C, U+200D, U+2061–U+2064) в коде сайта
- Необычные записи
_transient_caption_в базе данных WordPress - Отключённая SSL-верификация в cURL-запросах
- POST-запросы с параметром
new_code
Практические шаги по реагированию:
- Проверить серверные логи на наличие перечисленных индикаторов с помощью
grepили аналогичных инструментов - Выполнить поиск невидимых Unicode-символов в файлах темы и плагинов:
grep -rP '[\x{200C}\x{200D}\x{2061}-\x{2064}]' /path/to/wordpress/ - Сменить все административные пароли и ключи доступа FTP/SFTP
- Обновить WordPress, все плагины и темы до актуальных версий
- При обнаружении заражения — восстановить файлы из заведомо чистой резервной копии, а не пытаться «вычистить» вредонос вручную
- Заблокировать на уровне файрвола или WAF исходящие соединения с hello-mywordl[.]info
Учитывая, что начальный вектор атаки не установлен, а бэкдор обеспечивает полный удалённый контроль над сервером, владельцам WordPress-сайтов стоит провести проверку на перечисленные индикаторы компрометации в приоритетном порядке. Особое внимание — файлам JavaScript с нетипичными именами и исходящим соединениям к Steam Community из серверного окружения: именно эти признаки наиболее надёжно отличают данную кампанию от прочего вредоносного ПО для WordPress.
