Dünyadaki web sitelerinin yaklaşık yüzde 43’ü WordPress altyapısıyla çalışıyor. Bu nedenle WordPress’e yönelik her yeni taarruz, internet güvenliği açısından büyük bir telaş kaynağı haline geliyor.
Google Tehdit İstihbarat Kümesi (GTIG) tarafından yayımlanan son rapor, UNC5142 kod isimli yeni bir hacker kümesinin, WordPress sitelerini amaç alan gelişmiş bir taarruz kampanyası yürüttüğünü ortaya koydu.
Rapora nazaran UNC5142, zayıf temalar, kusurlu eklentiler yahut savunmasız veritabanları kullanan WordPress sitelerini tespit ederek hücuma geçiyor.
Bu sitelere “CLEARSHORT” isimli çok kademeli bir JavaScript indirici bulaştırılıyor. Bu ziyanlı kod, daha sonra makus gayeli yazılımların internet genelinde yayılmasını sağlıyor.
YENİ TEHDİT TEKNİĞİ
Google, akınların en dikkat alımlı tarafının “EtherHiding” ismi verilen yeni bir yol olduğunu belirtiyor.
EtherHiding, berbat hedefli kodu halka açık bir blok zincirine yerleştirerek gizleme tekniği olarak tanımlanıyor.
Bu prosedür, ziyanlı yazılımların klasik yollarla tespit edilmesini neredeyse imkânsız hale getiriyor. Zira blok zinciri üzerinde depolanan kodlar merkezi bir sunucuda bulunmadığı için silinmesi yahut engellenmesi çok güç.
SOSYAL MÜHENDİSLİK TUZAKLARI
Saldırının bir sonraki adımında, blok zinciri üzerindeki akıllı mukavele (smart contract) bir CLEARSHORT açılış sayfası oluşturuyor. Bu sayfa çoklukla Cloudflare geliştirici platformlarında barındırılıyor ve “ClickFix” isimli toplumsal mühendislik taktiğini kullanıyor.
ClickFix, kullanıcıları kandırarak bilgisayarlarında Windows “Çalıştır” penceresi yahut Mac Terminal uygulaması üzerinden makûs niyetli komutlar çalıştırmaya yönlendiriyor.
FİNANSAL GAYELİ SALDIRILAR
GTIG, UNC5142 kümesinin hücumlarının çoklukla finansal motivasyonlu olduğunu belirtiyor. Küme, Google tarafından 2023 yılından beri izleniyor. Lakin rapora nazaran UNC5142’nin faaliyetleri Temmuz 2025’te apansız durdu.
Bu durum, hacker kümesinin operasyonlarını nitekim sonlandırmış olabileceği üzere, formüllerini değiştirip daha zımnî biçimde akınlarına devam ettiği manasına da gelebilir.
14 BİN SİTE AMAÇ OLDU
Haziran 2025 prestijiyle GTIG, kelam konusu hacker kümesi tarafından ele geçirilmiş bir web sitesiyle alakalı JavaScript içeren yaklaşık 14 bin web sayfası tespit etti.
Kurum, “UNC5142, savunmasız WordPress sitelerini ayrım gözetmeksizin amaç alıyor” diyor.
NE YAPMALI?
Siber güvenlik uzmanları, bilhassa WordPress kullanıcılarını uyarıyor:
– Eklentilerin ve temaların her vakit yeni tutulması,
– Sağlam olmayan kaynaklardan tema yahut eklenti indirilmemesi,
– Site evraklarının nizamlı olarak ziyanlı yazılım taramasından geçirilmesi gerekiyor.
Google’ın bulguları, siber taarruzların artık sadece klasik virüslerle değil, blok zinciri teknolojisinin berbata kullanımıyla da yeni bir evreye geçtiğini gösteriyor.
