WordPress malver krije komande u komentarima Steam profila

Vesti, 03.06.2026, 12:00 PM

Istraživači kompanije GoDaddy otkrili su novu WordPress malver kampanju koja koristi Steam Community profile za skrivanje komandi namenjenih kompromitovanim sajtovima.

Prema njihovoj analizi, malver krije kodirane instrukcije unutar komentara na Steam profilima, a zatim ih preuzima i dekodira sa zaraženih WordPress sajtova tokom uobičajenog rada stranice.

Kampanja je prvi put primećena u julu 2025. godine, a do sada je identifikovana na približno 1.980 WordPress sajtova.

Ovakav pristup omogućava napadačima da koriste legitimnu platformu za čuvanje podataka o komandama i kontroli umesto sopstvenih servera, što otežava otkrivanje zlonamernih aktivnosti.

Istraživači navode da se komande kriju unutar Steam komentara pomoću nevidljivih Unicode karaktera. Posetioci vide običan tekst, dok malver iz skrivenih znakova izvlači stvarne instrukcije.

Nakon dekodiranja podataka, malver može da preuzme dodatni JavaScript kod sa udaljenih servera i ubaci ga na stranice kompromitovanog WordPress sajta.

GoDaddy je takođe identifikovao backdoor koji napadačima omogućava daljinsko menjanje PHP fajlova, ažuriranje malvera i ponovno aktiviranje zlonamernog koda čak i nakon delimičnog čišćenja kompromitovanog sistema.

Istraživači preporučuju administratorima WordPress sajtova da obrate pažnju na neuobičajene odlazne konekcije ka Steam Community profilima, kao i na učitavanje JavaScript fajlova sa nepoznatih domena.

Ovo nije prvi put da napadači koriste komentare na popularnim platformama za skrivanje komandi. Slične tehnike ranije su primećene na Instagramu, YouTubeu i GitHubu, gde su javno dostupni sadržaji korišćeni kao kanal za komunikaciju sa malverom.

Stručnjaci upozoravaju da kompromitovani sajtovi možda neće moći potpuno da se očiste bez vraćanja podataka iz čistih rezervnih kopija, jer malver poseduje mehanizme za dugotrajno zadržavanje pristupa sistemu.