WordPress 惡意軟體感染近 2,000 個網站,駭客濫用 Steam 平臺建立 C2 通訊管道
來源:iThome
作者:周峻佑
發布日期:2026-06-04
原文:https://www.ithome.com.tw/news/176357
摘要
GoDaddy 資安團隊揭露鎖定 wordpress 網站的惡意軟體活動。攻擊者濫用 steam 社群個人資料留言區,把經編碼的 C2 資料藏在合法遊戲社群平臺中,再指示受感染網站載入外部惡意 JavaScript。
此活動最早於 2025 年 7 月被 godaddy 偵測到,截至報導時約有 1,980 個 WordPress 網站遭植入惡意軟體。
關鍵資訊
- 受影響平臺:WordPress 網站
- 發現單位:GoDaddy 資安團隊
- 最早偵測時間:2025 年 7 月
- 受感染網站:約 1,980 個
- 被濫用服務:Steam 社群個人資料留言區
- 主要能力:擷取並解碼 C2 URL、注入外部 JavaScript、透過 POST 請求中的驗證 cookie 建立後門
- 隱匿手法:使用 6 個人眼不可見的 Unicode 字元隱藏留言區酬載
攻擊手法
惡意程式會連線至特定 Steam 個人資料頁面,從留言區取得以不可見 Unicode 字元隱藏的編碼 URL,解碼後將外部 JavaScript 注入 WordPress 網頁。第二項功能則利用網頁 POST 請求中的身分驗證 cookie 建立後門,使攻擊者可遠端修改外掛與佈景主題中的 PHP 檔案。
防護重點
- 檢查是否載入來源不明或經混淆的外部 JavaScript。
- 比對 WordPress 核心、外掛與佈景主題檔案完整性。
- 監控異常 POST 請求與驗證 cookie 使用情況。
- 搜尋不可見 Unicode 字元與異常遠端內容。
- 限制後臺檔案編輯權限,並更新 WordPress、外掛與佈景主題。
衍生頁面
- WordPress惡意軟體感染近2,000個網站,駭客濫用Steam平臺建立C2通訊管道 — 主要攻擊活動與 C2 隱匿手法
- wordpress — 受影響網站平臺
- steam — 被濫用為 C2 隱藏點的合法平臺
- godaddy — 揭露此活動的資安團隊所屬公司