關鍵詞

惡意軟件

2025 年 5 月 16 日，Wordfence 威脅情報團隊披露一起極為復雜的 WordPress 網站攻擊事件：攻擊者通過偽裝插件潛伏于結賬頁面，模擬 Cloudflare 驗證界面，竊取用戶信用卡信息、登錄憑證，甚至實時跟蹤用戶操作。

活躍已久，持續升級

該惡意插件至少自 2023 年 9 月起已在全球范圍傳播，具備代碼混淆、反調試、環境感知等多重對抗手段。其典型特征包括：

• 僅在結賬頁面生效，避開管理員后臺以躲避檢測；

• 注入仿冒 Cloudflare 的“人機驗證”全屏頁面，支持多語言、深色模式、RTL 排版、動畫等細節，迷惑用戶并阻攔自動分析工具；

• 利用 WooCommerce 標記惡意訂單為“已完成”，拖延網站主發現時間。

研究人員還發現該家族的多個變種，分別用于：

• 篡改 Google Ads，誘導移動端展示虛假廣告；

• 竊取 WordPress 登錄憑證；

• 將網站正常鏈接篡改為惡意跳轉鏈接；

• 利用 Telegram 實時回傳數據并監控用戶行為。

所有變種共享同一框架，根據用途靈活加載模塊，顯示出高度工程化的攻擊流程。

仿冒“WordPress Core”插件為攻擊核心

攻擊的關鍵在于一個名為“WordPress Core”的偽造插件，內嵌 JavaScript 和 PHP 后門組件，借助 WooCommerce 集成功能非法操作訂單并存儲竊取數據。

惡意數據會被保存在 WordPress 后臺的自定義“messages”區域，攻擊者甚至可以在被控網站上直接管理所竊數據，極難察覺。

相關威脅指標與防護建議

攻擊者使用的相關惡意域名包括：

• api-service-188910982.website

• graphiccloudcontent.com

Wordfence 于 5 月 17 日至 6 月 15 日間已向其高級用戶推送檢測規則，免費版將延遲 30 天更新。

建議 WordPress 管理員：

• 檢查插件列表，清理來源不明插件；

• 監測 WooCommerce 異常訂單行為；

• 檢查網站是否請求上述域名；

• 使用安全插件增強防護（如 Wordfence、Sucuri）；

• 定期備份并做好應急預案。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！