Власникам WordPress-сайтів варто сприймати новий випадок зловживання Steam Community, який описала GoDaddy Security, як проблему бекдора, а не як історію про ігрову платформу. Дослідники кажуть, що шкідник ховає command-and-control дані у коментарях Steam-профілю за допомогою невидимих Unicode-символів, декодує їх усередині WordPress, підвантажує зовнішній JavaScript на публічних сторінках і залишає cookie-автентифікований серверний бекдор для зміни файлів плагінів і тем.
Практичний висновок вузький: якщо скомпрометований WordPress-сайт підвантажує дивний скрипт із hello-mywordl[.]info, містить підозрілий handle на кшталт asahi-jquery-min-bundle або має обфускований PHP, який читає коментарі Steam-профілю, очищення має охоплювати і JavaScript для відвідувачів, і цілісність серверних файлів. Видалення лише видимого скрипта може залишити атакувальнику шлях назад.
Що знайшла GoDaddy
GoDaddy Security повідомляє, що вперше виявила цю кампанію у липні 2025 року й бачила шкідник приблизно на 1 980 WordPress-сайтах. Техніка незвична тим, що шкідник не покладається лише на очевидний сервер зловмисника. Він завантажує сторінки Steam Community, витягує вміст коментарів профілю, прибирає видимий текст-приманку й декодує приховані дані з невидимих Unicode-символів, зокрема zero-width joiner та споріднених code points.
Після декодування WordPress-шкідник може сформувати URL для підвантаження JavaScript. У зразку GoDaddy декодований URL вказував на hello-mywordl[.]info/js/lodash[.]core[.]min[.]js, тобто назву, схожу на звичайну JavaScript-бібліотеку. Шкідник також використовує нормальні WordPress API та випадкові назви функцій, тому швидкий пошук одного очевидного рядка може нічого не знайти.
| Ознака | Чому це важливо |
|---|---|
hello-mywordl[.]info | Зовнішній JavaScript-хост, який GoDaddy бачила під час аналізу. Перевірте source сторінок, вміст бази, файли тем/плагінів і server logs. |
asahi-jquery-min-bundle | Handle скрипта, який маскує шкідливе підключення під звичайний JavaScript bundle. |
| Запити до Steam-профілів | Неочікувані звернення з WordPress PHP-коду до Steam Community можуть вказувати на етап отримання прихованого C2. |
| Невидимі Unicode-послідовності | Zero-width символи можуть переносити закодовані дані, поки видимий текст коментаря здається безпечним. |
| POST-запити з незвичними cookies | GoDaddy описує cookie-автентифікований бекдор для keepalive та оновлення коду. |
Кому потрібно перевірити сайт
Найвищий ризик мають власники WordPress-сайтів, де є невідомі плагіни, старі nulled-теми, покинутий custom code, слабкі admin-паролі або попереднє неповне очищення від шкідника. Користувачам shared hosting також варто попросити хостинг перевірити історію зміни файлів і outbound-запити, бо шкідливий PHP може сидіти у файлі плагіна чи теми, а публічний симптом виглядатиме лише як підключений скрипт.
Для відвідувачів ризик залежить від того, що саме віддає інжектований JavaScript у момент завантаження сторінки. Скомпрометований сайт може стати посадковою сторінкою для redirect, фальшивих перевірок, phishing або malware delivery. Це перетинається з іншими випадками отруєних сайтів і ClickFix, але характерна ознака цієї кампанії — канал з коментарями Steam-профілю для прихованих інструкцій.
Що зробити зараз
- Перевірте server logs, cached HTML і source сторінок на
hello-mywordl.info,lodash.core.min.jsі підозрілі script handles, які імітують поширені бібліотеки. - Перегляньте нещодавно змінені PHP-файли тем і плагінів, особливо код із hooks
wp_enqueue_scripts,template_redirectабо функціями запису файлів. - Шукайте PHP, який звертається до Steam Community profile pages або обробляє невидимі Unicode-символи. Для звичайних WordPress-плагінів це нетипова поведінка.
- Відновіть core, plugins і themes з чистих vendor-джерел там, де це можливо. Не обмежуйтеся видаленням JavaScript URL, якщо серверний бекдор лишається.
- Після очищення файлової системи змініть паролі WordPress admins, hosting panel, SFTP/SSH, database credentials та API keys.
- Вимкніть dashboard file editing через
DISALLOW_FILE_EDIT, приберіть невикористані plugins/themes і посильте file permissions відповідно до WordPress hardening guidance. - Перевірте Windows-станцію адміністратора, якщо з неї нещодавно завантажували plugins, редагували theme files або зберігали credentials. Gridinsoft Anti-Malware може допомогти знайти stealers чи backdoors перед повторним використанням паролів.
- Використайте Gridinsoft Online Virus Scanner для підозрілих файлів і Gridinsoft URL Scanner, щоб перевірити домен після cleanup.
Якщо сайт нещодавно показував фальшиві перевірки або шкідливі redirects, порівняйте цей випадок із Ghost CMS ClickFix poisoning та Gogs RCE open-registration risk. Для broader ризиків WordPress-адміністрування дивіться також WP Maps Pro CVE-2026-8732.
FAQ
Це означає, що Steam-акаунти зламані?
Ні. Описана техніка зловживає публічними коментарями Steam Community як місцем для прихованих інструкцій. Ризик стосується скомпрометованих WordPress-сайтів і їхніх відвідувачів, а не звичайних Steam-користувачів лише через наявність акаунта.
Чи достатньо видалити зовнішній JavaScript?
Ні. GoDaddy описує і client-side script injection, і server-side backdoor. Якщо PHP-бекдор залишається у файлі плагіна чи теми, атакувальник може знову змінити код.
Що перевірити першим на невеликому WordPress-сайті?
Почніть із source сторінок і server logs для hello-mywordl.info, потім перегляньте нещодавно змінені plugin/theme files і PHP, який неочікувано звертається до Steam Community або декодує невидимий Unicode.
Якщо WordPress уже демонструє ознаки компрометації, перевірте не лише бекдори, а й вразливі плагіни. Kirki CVE-2026-8206 показує, як помилка скидання пароля може відкрити шлях до захоплення адміністратора.
Джерела
- GoDaddy Security. “Malware Targeting WordPress Abuses Steam Community Profiles for Command & Control Operations.” GoDaddy Blog, accessed June 2, 2026. https://www.godaddy.com/resources/news/malware-targeting-wordpress-abuses-steam-community-profiles
- WordPress.org. “Hardening WordPress.” WordPress Advanced Administration Handbook, accessed June 2, 2026. https://developer.wordpress.org/advanced-administration/security/hardening/
