黑客滥用区块链智能合约，通过受感染的 WordPress 网站传播恶意软件。

一个代号为 UNC5142、以经济利益为驱动的威胁行为体，被发现滥用区块链智能合约分发信息窃取器，包括 Atomic（AMOS）、Lumma、Rhadamanthys（又名 RADTHIEF）和 Vidar 等，目标涵盖 Windows 和苹果 macOS 系统。

谷歌威胁情报团队（GTIG）在分享给《黑客新闻》的报告中表示：“UNC5142 的显著特征是利用已被入侵的 WordPress 网站，以及‘EtherHiding’技术 —— 这种技术通过将恶意代码或数据存储在币安智能链（BNB Smart Chain）等公共区块链上实现隐藏。”

截至 2025 年 6 月，谷歌已标记约 1.4 万个包含注入式 JavaScript 的网页，这些脚本表现出与 UNC5142 相关的行为，表明该威胁行为体正对存在漏洞的 WordPress 网站发起无差别攻击。不过这家科技巨头指出，自 2025 年 7 月 23 日起未再发现任何 UNC5142 的活动迹象，这可能意味着其暂停运营或转向其他攻击方式。

EtherHiding 技术最早由 Guardio Labs 于 2023 年 10 月记录在案，当时该实验室详细披露了相关攻击活动：受感染网站通过虚假浏览器更新警告，利用币安智能链（BSC）合约分发恶意代码。

数字取证与事件响应（DFIR）外包服务

支撑这些攻击链的关键组件是一个名为 CLEARSHORT 的多阶段 JavaScript 下载器，它通过被入侵网站分发恶意软件。第一阶段是植入网站的 JavaScript 恶意代码，通过与存储在币安智能链（BSC）上的恶意智能合约交互，获取第二阶段载荷。第一阶段恶意代码会被添加到插件相关文件、主题文件中，部分情况下还会直接注入 WordPress 数据库。

智能合约的作用是从外部服务器获取 CLEARSHORT 钓鱼页面，该页面随后采用 ClickFix 社会工程学策略，诱骗受害者在 Windows 的 “运行” 对话框（或 Mac 的终端应用）中执行恶意命令，最终使系统感染窃取器恶意软件。自 2024 年 12 月起，这些通常托管在 Cloudflare .dev 域名下的钓鱼页面，会以加密格式传输。

CLEARSHORT 感染链

在 Windows 系统上，恶意命令会执行从 MediaFire 链接下载的 HTML 应用程序（HTA）文件，该文件随后释放 PowerShell 脚本以绕过防御机制，从 GitHub、MediaFire 或其自有基础设施获取加密的最终载荷，并直接在内存中运行窃取器，无需将恶意文件写入磁盘。

在 2025 年 2 月和 4 月针对 macOS 的攻击中，攻击者利用 ClickFix 诱饵，诱使用户在终端中运行 bash 命令以获取 shell 脚本。该脚本随后通过 curl 命令从远程服务器获取 Atomic Stealer 载荷。

UNC5142 最终载荷分发时间线

CLEARSHORT 被认定为 ClearFake 的变种，法国网络安全公司 Sekoia 于 2025 年 3 月对 ClearFake 进行了详细分析。ClearFake 是一个恶意 JavaScript 框架，通过受入侵网站以 “无交互下载” 方式分发恶意软件，自 2023 年 7 月起活跃，2024 年 5 月左右开始采用 ClickFix 策略。

滥用区块链技术为攻击带来多项优势：这种巧妙的方式不仅能与合法 Web3 活动混淆，还能增强 UNC5142 运营的弹性，使其更难被检测和下架。

谷歌表示，该威胁行为体的攻击活动在过去一年中经历了显著演变。2024 年 11 月起，其从单一合约系统转向更复杂的三智能合约系统，以提升运营灵活性，并在 2025 年 1 月初进一步优化。

报告解释道：“这种新架构借鉴了合法软件设计中的‘代理模式’原则，开发者通常利用该模式实现合约的可升级性。”

关键基础设施安全（CIS）构建工具包

“该架构采用高效的‘路由 - 逻辑 - 存储’结构，每个合约承担特定功能。这种设计允许攻击者快速更新攻击中的关键部分，例如钓鱼页面 URL 或解密密钥，而无需修改受入侵网站上的 JavaScript 代码。因此，这些攻击活动更具灵活性，且能有效抵御下架措施。”

UNC5142 利用了智能合约数据的可修改性（需注意，合约程序代码一旦部署便不可更改）来修改载荷 URL，每次更新的网络费用在 0.25 美元至 1.50 美元之间。

进一步分析发现，该威胁行为体使用两套独立的智能合约基础设施，通过 CLEARSHORT 下载器分发窃取器恶意软件。主基础设施创建于 2024 年 11 月 24 日，而并行的次要基础设施则于 2025 年 2 月 18 日完成资金筹备。

GTIG 表示：“主基础设施是核心攻击基础设施，其特点是创建时间早且更新频繁；次要基础设施则是并行的战术部署，可能用于支持特定时期的攻击激增、测试新型诱饵，或单纯增强运营弹性。”

“过去一年半中，感染链频繁更新、运营节奏稳定、受入侵网站数量庞大、分发的恶意软件载荷种类多样，这些都表明 UNC5142 的攻击活动很可能取得了一定程度的成功。”

觉得这篇文章有趣？关注我们的谷歌新闻、推特和领英账号，获取更多独家内容。