کمیته رکن چهارم – یک گروه هکری با نام UNC5142 با بهرهگیری از قراردادهای هوشمند بلاکچین، حملات گستردهای را برای انتشار بدافزار از طریق سایتهای وردپرس آسیبپذیر انجام داده است. این گروه با روش EtherHiding، کدهای مخرب را در زنجیره BNB پنهان کرده و از آنها برای اجرای حملات پیچیده استفاده کرده است.
به گزارش کمیته رکن چهارم، در این حملات، ابزارهایی مانند Atomic، Lumma، Rhadamanthys و Vidar برای سرقت اطلاعات از کاربران ویندوز و مکاواس به کار رفتهاند. گوگل در گزارشی اعلام کرد که تا ژوئن ۲۰۲۵ بیش از ۱۴ هزار صفحه وب آلوده را شناسایی کرده که به این کارزار مرتبط بودهاند. با این حال، پس از ۲۳ ژوئیه ۲۰۲۵، فعالیتی از این گروه ثبت نشده است.
هکرها با استفاده از اسکریپت جاوااسکریپت موسوم به CLEARSHORT، ابتدا کد مخربی را در سایتهای وردپرس تزریق کرده و سپس با فریب کاربران از طریق تکنیک مهندسی اجتماعی ClickFix، آنها را به اجرای دستورات در ویندوز یا مک وادار میکردند. این دستورات باعث بارگیری بدافزار از سرورهای خارجی مانند MediaFire و GitHub و اجرای مستقیم آن در حافظه سیستم میشد.
در ساختار جدید خود، UNC5142 از سه قرارداد هوشمند مجزا بهمنظور افزایش انعطافپذیری و مقاومت در برابر حذف استفاده میکند. این ساختار مبتنی بر الگوی پراکسی، امکان بهروزرسانی سریع آدرسها و کلیدهای رمزگشایی را بدون تغییر اسکریپتهای تزریقشده فراهم کرده است.
علاوه بر این، گروه UNC5142 دو زیرساخت جداگانه برای توزیع بدافزار ایجاد کرده که یکی در ۲۴ نوامبر ۲۰۲۴ و دیگری در ۱۸ فوریه ۲۰۲۵ فعال شدهاند. این موضوع نشان از سطح برنامهریزی و سازماندهی بالای این عملیات دارد.
با توجه به گستردگی حملات، تنوع ابزارهای مورد استفاده و مدتزمان طولانی اجرای آنها، فعالیت UNC5142 تهدیدی جدی برای کاربران اینترنتی و امنیت وبسایتها بهشمار میرود.
