WordPress tetap menjadi salah satu sistem manajemen konten paling populer di Internet. Faktanya, lebih dari 43 persen dari seluruh website dijalankan di WordPress. Hal ini membuat serangan terbaru terhadap situs WordPress oleh aktor ancaman baru semakin mengkhawatirkan.
Menurut laporan baru dari Google Threat Intelligence Group (GTIG), seorang aktor ancaman baru dengan kode UNC5142 telah berhasil meretas situs WordPress dan menggunakan teknik benar-benar baru untuk menyebarkan malware di seluruh web. UNC5142, menurut laporan tersebut, menemukan website WordPress yang rentan seringkali dengan memanfaatkan tema, plugin, atau basis data yang bermasalah.
Situs WordPress yang menjadi sasaran kemudian terinfeksi oleh pengunduh JavaScript multi-tahap bernama CLEARSHORT yang bertugas mendistribusikan malware. Kelompok ancaman ini kemudian menggunakan teknik baru yang dijuluki “EtherHiding,” yang diaktifkan oleh CLEARSHORT.
Google mendeskripsikan EtherHiding sebagai “sebuah teknik yang digunakan untuk menyembunyikan kode atau data berbahaya dengan menempatkannya pada blockchain publik, seperti BNB Smart Chain.” Penggunaan blockchain untuk menyebarkan kode berbahaya ini merupakan hal yang unik dan membuat penghentian penyebaran malware menjadi semakin sulit.
Kontrak pintar yang berisi kode pada blockchain tersebut kemudian akan memunculkan laman arahan CLEARSHORT, yang seringkali dihosting pada halaman pengembang Cloudflare, yang memanfaatkan taktik rekayasa sosial ClickFix. Taktik ini mengelabui pengunjung website untuk menjalankan perintah berbahaya di komputer mereka melalui dialog Windows Run atau aplikasi Terminal Mac.
Serangan oleh UNC5142 ini seringkali dimotivasi oleh keuntungan finansial, menurut Google. GTIG menyatakan telah melacak UNC5142 sejak tahun 2023. Namun, Google melaporkan bahwa UNC5142 tiba-tiba menghentikan semua aktivitasnya pada Juli 2025.
Ini bisa berarti bahwa kelompok aktor ancaman baru ini, yang telah berhasil menjalankan kampanye malware-nya, memutuskan untuk berhenti. Atau, bisa juga berarti bahwa si pelaku ancaman telah mengubah tekniknya, berhasil mengaburkan tindakan terbarunya, dan masih aktif meretas website-website yang rentan hingga saat ini.