Onbinlerce siteye aynı anda hacker saldırısı

Dünyadaki web sitelerinin yaklaşık yüzde 43’ünün altyapısını oluşturan WordPress, siber saldırganların öncelikli hedeflerinden biri olmaya devam ediyor. Google Tehdit İstihbarat Grubu (GTIG) tarafından yayımlanan son rapor, UNC5142 kod adlı hacker grubunun, WordPress sitelerine yönelik geniş çaplı ve gelişmiş bir saldırı kampanyası yürüttüğünü ortaya koydu.

Rapora göre grup, güvenlik açıklarına sahip temalar, hatalı eklentiler ve savunmasız veritabanları üzerinden sistemlere sızıyor. Bu saldırılarda “CLEARSHORT” adlı çok aşamalı bir JavaScript indirici kullanılıyor.

Google, saldırının en dikkat çekici yönünün “EtherHiding” isimli yeni bir gizleme yöntemi olduğunu belirtti. Bu yöntemde, zararlı yazılımlar merkezi olmayan blok zinciri altyapıları üzerinde saklanıyor. Kodların bir blok zincirine yerleştirilmesi, onları tespit etmeyi ve engellemeyi neredeyse imkânsız hale getiriyor.

Zararlı yazılım bulaşan siteler, kullanıcıları hedef almak için bir açılış sayfası oluşturuyor. Bu sayfa çoğunlukla Cloudflare geliştirici platformlarında barındırılıyor. Açılan sahte sayfa üzerinden “ClickFix” adlı sosyal mühendislik tekniği kullanılarak, ziyaretçilerin Windows "Çalıştır" penceresi ya da Mac Terminal uygulaması aracılığıyla kötü niyetli komutlar çalıştırması sağlanıyor.

GTIG verilerine göre UNC5142 grubunun saldırılarındaki temel amaç finansal kazanç. Grup, Google tarafından 2023 yılından bu yana izleniyor. Temmuz 2025'te faaliyetleri aniden duran grubun, yöntem değiştirerek gizli biçimde çalışmaya devam ettiği değerlendiriliyor.

Haziran 2025 itibarıyla 14 bin web sayfasında, hacker grubuna ait JavaScript içeriği tespit edildi. Ele geçirilen siteler arasında herhangi bir ayrım yapılmadığı belirtildi.

Siber güvenlik uzmanları, WordPress kullanıcılarına aşağıdaki önerilerde bulundu:

Tüm eklenti ve temaların güncel tutulması

Güvenilir olmayan kaynaklardan içerik indirilmemesi

Site dosyalarının düzenli olarak kötü amaçlı yazılımlara karşı taranması

Google tarafından yayımlanan bulgular, siber tehditlerin artık yalnızca geleneksel yöntemlerle değil, blok zinciri gibi yeni teknolojilerin kötüye kullanımı yoluyla da yürütüldüğünü ortaya koyuyor.