Giriş
Yaklaşık 2,000 WordPress sitesi, Steam Topluluğu profil yorumlarını kötü amaçlı yazılım işlemek için kullanan bir siber saldırıya maruz kalmıştır. Bu durum, web güvenliği açısından ciddi bir tehdit oluşturarak, kullanıcıların veri güvenliğini tehlikeye atmaktadır.
Saldırı Nasıl Çalışıyor?
Saldırganlar, gizli Unicode karakterlerini kullanarak bir yük oluşturmakta ve bu yük, kötü niyetli bir script’e yönlendiren bir URL’yi dahil etmektedir. Bu yöntem sayesinde, saldırganlar ayrı bir komut ve kontrol (C2) altyapısı kurmaktan kaçınmakta ve geleneksel tespit yöntemlerini atlatarak saldırılarını gerçekleştirmektedirler.
GoDaddy güvenlik mühendisleri, Haziran 2025’te tespit edilen bu kötü amaçlı yazılımın yaklaşık 1,980 WordPress sitesi üzerinde var olduğunu bildirmiştir. Saldırganların web sitelerine nasıl girdiği net değil, ancak araştırmalar, ilk enfeksiyon vektörünün aşağıdakiler olduğunu ortaya koymaktadır:
- Çalınmış admin girişleri
- Kompromize edilmiş FTP/SFTP kimlik bilgileri
- Güvensiz bir WordPress tema veya eklentisinin istismarı
- Tedarik zinciri ihlali
İlk aşamada, web sitesine yerleştirilen kötü amaçlı yazılım, WordPress sayfa yüklemelerinde belirli Steam profillerine erişmekte ve masum görünen yorumlardan metin çıkarmaktadır. Ancak bu metin, ASCII sanatı olarak kamufle edilmiş gizli Unicode karakterlerini içermektedir.
Etkilenen Sistemler
GoDaddy araştırmacıları, yüklenmiş kötü amaçlı yazılımın, aşağıdaki gizli Unicode karakterlerini kullandığını belirtmektedir:
- Sıfır genişlikte ayrıcı (U+200C)
- Sıfır genişlikte birleştirici (U+200D)
- Fonksiyon uygulama (U+2061)
- Görünmez çarpma (U+2062)
- Görünmez ayırıcı (U+2063)
- Görünmez toplama (U+2064)
Bu kodlama yöntemi, normal metin içerisinde ikili verinin gömülmesine olanak tanımaktadır. Görünür karakterler, kamuflaj görevi görürken, görünmez karakterler gerçek yükü taşımaktadır. Araştırmacılara göre, çözümlenen yük, her ön yüz WordPress sayfasına yerleştirilen JavaScript kodunu içeren hello-mywordl[.]info URL’sini oluşturmaktadır.
Kötü amaçlı yazılım, sahte bir JavaScript kütüphanesi olarak maskeleme yapan dosyalar (örneğin, asahi-jquery-min-bundle ve lodash.core.min.js) ile kendisini gizlemektedir. Saldırının son aşaması, belirli bir kimlik doğrulama çerezi içeren özel olarak hazırlanmış POST isteklerine yanıt veren bir arka kapı oluşturmaktır.
Çözüm ve Korunma
Site sahipleri, aşağıdaki adımları takip ederek kendilerini koruyabilirler:
- Steam Topluluğu URL’lerine referans kontrolü yapın.
- Şüpheli dış JavaScript enjeksiyonlarını inceleyin.
- WordPress sunucularından Steam’e olan dış bağlantıları kontrol edin.
- hello-mywordl[.]info gibi alanlardan yüklenen beklenmedik betikleri izleyin.
Diğer göstergeler arasında görünmez Unicode karakterler, şüpheli _transient_caption_ önbellek girişleri, cURL isteklerinde devre dışı bırakılmış SSL doğrulaması ve kötü amaçlı yazılımın kimlik doğrulama çerezlerini içeren POST istekleri yer almaktadır.
Araştırmacılar, güvenlik ekiplerinin enfeksiyon tarihinden önce bilinen bir yedekten geri yükleme yapmalarını öncelikle tavsiye etmektedir. Eğer bu mümkün değilse, manuel temizlik sürecinin titiz ve dikkatli bir şekilde yapılması gerektiği vurgulanmaktadır; zira “saldırganlar, geri kapının aktif kalması durumunda kaldırılan kodu yeniden yerleştirebilir.”
Aksiyon
Web sitenizin güvenliğini sağlamak için derhal aşağıdaki adımları uygulamanız önemlidir:
- WordPress sürümünüzü en güncel versiyona yükseltin.
- Güçlü bir şifre politikası uygulayarak admin hesaplarınızı koruma altına alın.
- FTP ve SFTP için güçlü kimlik bilgileri kullanın ve düzenli olarak değiştirin.
- Güvenlik yedekleri alın ve bilinen iyi bir yedekten geri yükleyin.
Unutmayın, her zaman güncel kalmak ve güvenlik önlemlerini güçlendirmek, siber tehditlere karşı en verimli savunmadır.
