WordPress tabanlı 14 bin site hacklendi: Yeni yöntem blok zinciri

Bir hacker grubu WordPress sitelerini hedef alan gelişmiş bir saldırı kampanyası yürütüyor.

Dünyadaki web sitelerinin yaklaşık yüzde 43’ü WordPress altyapısıyla çalışıyor. Bu nedenle WordPress’e yönelik her yeni saldırı, internet güvenliği açısından büyük bir endişe kaynağı haline geliyor.

Google Tehdit İstihbarat Grubu (GTIG) tarafından yayımlanan son rapor, UNC5142 kod adlı yeni bir hacker grubunun, WordPress sitelerini hedef alan gelişmiş bir saldırı kampanyası yürüttüğünü ortaya koydu.

Rapora göre UNC5142, zayıf temalar, hatalı eklentiler veya savunmasız veritabanları kullanan WordPress sitelerini tespit ederek saldırıya geçiyor.

Bu sitelere “CLEARSHORT” adlı çok aşamalı bir JavaScript indirici bulaştırılıyor. Bu zararlı kod, daha sonra kötü amaçlı yazılımların internet genelinde yayılmasını sağlıyor.

YENİ TEHDİT TEKNİĞİ

Google, saldırıların en dikkat çekici yönünün “EtherHiding” adı verilen yeni bir yöntem olduğunu belirtiyor.

EtherHiding, kötü amaçlı kodu halka açık bir blok zincirine yerleştirerek gizleme tekniği olarak tanımlanıyor.

Bu yöntem, zararlı yazılımların geleneksel yollarla tespit edilmesini neredeyse imkânsız hale getiriyor. Çünkü blok zinciri üzerinde depolanan kodlar merkezi bir sunucuda bulunmadığı için silinmesi veya engellenmesi çok zor.

SOSYAL MÜHENDİSLİK TUZAKLARI

Saldırının bir sonraki adımında, blok zinciri üzerindeki akıllı sözleşme (smart contract) bir CLEARSHORT açılış sayfası oluşturuyor. Bu sayfa genellikle Cloudflare geliştirici platformlarında barındırılıyor ve “ClickFix” adlı sosyal mühendislik taktiğini kullanıyor.

ClickFix, kullanıcıları kandırarak bilgisayarlarında Windows “Çalıştır” penceresi veya Mac Terminal uygulaması üzerinden kötü niyetli komutlar çalıştırmaya yönlendiriyor.

FİNANSAL AMAÇLI SALDIRILAR

GTIG, UNC5142 grubunun saldırılarının genellikle finansal motivasyonlu olduğunu belirtiyor. Grup, Google tarafından 2023 yılından beri izleniyor. Ancak rapora göre UNC5142’nin faaliyetleri Temmuz 2025’te aniden durdu.

Bu durum, hacker grubunun operasyonlarını gerçekten sonlandırmış olabileceği gibi, yöntemlerini değiştirip daha gizli biçimde saldırılarına devam ettiği anlamına da gelebilir.

14 BİN SİTE HEDEF OLDU

Haziran 2025 itibarıyla GTIG, söz konusu hacker grubu tarafından ele geçirilmiş bir web sitesiyle ilişkili JavaScript içeren yaklaşık 14 bin web sayfası tespit etti.

Kurum, "UNC5142, savunmasız WordPress sitelerini ayrım gözetmeksizin hedef alıyor" diyor.

NE YAPMALI?

Siber güvenlik uzmanları, özellikle WordPress kullanıcılarını uyarıyor:

- Eklentilerin ve temaların her zaman güncel tutulması, - Güvenilir olmayan kaynaklardan tema veya eklenti indirilmemesi, - Site dosyalarının düzenli olarak zararlı yazılım taramasından geçirilmesi gerekiyor. Google’ın bulguları, siber saldırıların artık yalnızca klasik virüslerle değil, blok zinciri teknolojisinin kötüye kullanımıyla da yeni bir evreye geçtiğini gösteriyor.