WordPress 惡意軟體感染近 2,000 個網站,駭客濫用 Steam 平臺建立 C2 通訊管道

來源:iThome
作者:周峻佑
發布日期:2026-06-04
原文:https://www.ithome.com.tw/news/176357

摘要

GoDaddy 資安團隊揭露鎖定 wordpress 網站的惡意軟體活動。攻擊者濫用 steam 社群個人資料留言區,把經編碼的 C2 資料藏在合法遊戲社群平臺中,再指示受感染網站載入外部惡意 JavaScript。

此活動最早於 2025 年 7 月被 godaddy 偵測到,截至報導時約有 1,980 個 WordPress 網站遭植入惡意軟體。

關鍵資訊

  • 受影響平臺:WordPress 網站
  • 發現單位:GoDaddy 資安團隊
  • 最早偵測時間:2025 年 7 月
  • 受感染網站:約 1,980 個
  • 被濫用服務:Steam 社群個人資料留言區
  • 主要能力:擷取並解碼 C2 URL、注入外部 JavaScript、透過 POST 請求中的驗證 cookie 建立後門
  • 隱匿手法:使用 6 個人眼不可見的 Unicode 字元隱藏留言區酬載

攻擊手法

惡意程式會連線至特定 Steam 個人資料頁面,從留言區取得以不可見 Unicode 字元隱藏的編碼 URL,解碼後將外部 JavaScript 注入 WordPress 網頁。第二項功能則利用網頁 POST 請求中的身分驗證 cookie 建立後門,使攻擊者可遠端修改外掛與佈景主題中的 PHP 檔案。

防護重點

  • 檢查是否載入來源不明或經混淆的外部 JavaScript。
  • 比對 WordPress 核心、外掛與佈景主題檔案完整性。
  • 監控異常 POST 請求與驗證 cookie 使用情況。
  • 搜尋不可見 Unicode 字元與異常遠端內容。
  • 限制後臺檔案編輯權限,並更新 WordPress、外掛與佈景主題。

衍生頁面