Известные факты#
Атакующие используют CVE-2026-26980, критическую уязвимость Ghost CMS, чтобы заражать легитимные сайты и вставлять вредоносный JavaScript в опубликованные статьи.
По данным QiAnXin XLab, кампания эксплуатирует SQL-инъекцию в Ghost Content API. Уязвимость позволяла неавторизованному злоумышленнику читать произвольные данные базы. Проблема была исправлена в феврале 2026 года в Ghost 6.19.1.
Важно, что угроза выходит за пределы доступа к базе. XLab отмечает, что злоумышленники использовали уязвимость для получения Ghost Admin API ключа без авторизации. С его помощью можно вызывать Ghost Admin API и массово изменять контент. В кампании это использовалось для подмены статей и вставки JavaScript-лоадеров внизу страниц.
XLab описывает активность как масштабное отравление сайтов. Первые случаи зафиксированы 7 мая 2026. Более 700 сайтов пострадали в сферах блокчейна, ИИ, SaaS, безопасности, медиа, финтеха и смежных технологий.
Механика заражения#
Вставленный код работает как двухэтапный загрузчик. Он встроен в легитимный контент Ghost и загружает следующий payload с внешнего домена clo4shara[.]xyz/11z77u3.php.
Такая схема позволяет атакующим менять payload без повторного заражения всех сайтов. Видимая страница остаётся доверенной статьёй. Лоадер остаётся на месте, пока сервер решает, что отправить дальше.
Прямой доступ к PHP-эндпоинту показывает скрипт распределения трафика. Он собирает браузерные отпечатки, отправляет их на сервер злоумышленника и выполняет инструкции: редиректы, всплывающие окна, загрузки или произвольный JavaScript.
Скрипт работает через коммерческий сервис cloaking, чтобы отделять настоящих жертв от сканеров и исследователей. Для некоторых посетителей загружается фейковая CAPTCHA в iframe, предлагающая доказать человечность. Это ведёт к ClickFix-атаке.
ClickFix — социальная инженерия: пользователю предлагают выполнить действия, кажущиеся исправлением ошибки. В данном случае жертве предлагают вставить Base64-команду в Windows Run.
Действия Windows-пayload#
Команда работает как дроппер: доставляет ZIP, извлекает batch-скрипт и запускает его. Скрипт вызывает PowerShell, который загружает DLL с удалённого сервера, запускает через rundll32.exe и открывает фейковую страницу для отвлечения.
Позднее DLL могла быть заменена JavaScript-пayload. Цель: скачать и запустить Windows-исполняемый файл.
DLL-цепочка приводит к PuTTY с подписанным сертификатом, JavaScript-цепочка — к Inno Setup для Electron-приложения. Модифицированное open-source приложение опрашивает сервер web-telegram[.]ug каждые 30 секунд для выполнения команд, включая запуск JS или exe.
Cloaking означает, что не все посетители видят одинаковый payload.
Значение угрозы#
Это компрометация CMS как слой распространения вредоносного ПО. Жертвы могут оказаться на реальных статьях, повышая шанс доверия к фейковой CAPTCHA.
Ghost Admin API ключи высокоценны: с их помощью можно массово менять контент без веб-шела. Убирая один файл, нельзя гарантировать очистку — нужно проверять базу и опубликованные статьи.
Практический риск для пользователей — ClickFix: команды в Windows Run или PowerShell от страницы CAPTCHA считаются враждебными.
Что проверить#
- Версию Ghost и наличие обновлений (минимум 6.19.1).
- Admin API ключи и другие учётные данные.
- Статьи на наличие неожиданных JS, особенно внизу страниц.
- Файлы темы и кастомные интеграции на неизвестный код.
- Логи доступа с 7 мая 2026 и позже.
- Активность API по массовым изменениям контента.
- Внешние запросы к clo4shara[.]xyz и web-telegram[.]ug.
После очистки смените все ключи и секреты. Если убрать только фронтенд-код, но ключи остаются, возможна реинфекция.
Рассмотрите уведомление пользователей, которые посетили страницы в период заражения. Не утверждайте компрометацию без доказательств. Если были инструкции CAPTCHA или загрузки, предупредите о возможном выполнении команд.
Практический вывод#
Ghost-операторам: обновляйте систему, меняйте ключи, проверяйте контент, мониторьте API. Контроль контента — часть реагирования.
Пользователям: никогда не вставляйте команды в Windows Run или PowerShell по инструкциям сайтов.
Командам безопасности: следите за вставленными лоадерами на доверенных платформах. В кампании схема проста: эксплойт CMS, кража Admin API ключа, подмена страниц, cloaking, затем запуск локальных команд.
Эксплойт открывает дверь, доверенный сайт закрывает сделку.