Steam C2-бекдор

Постер із коментарями Steam-профілю, що ведуть до WordPress-бекдора на вебсервері.

Власникам WordPress-сайтів варто сприймати новий випадок зловживання Steam Community, який описала GoDaddy Security, як проблему бекдора, а не як історію про ігрову платформу. Дослідники кажуть, що шкідник ховає command-and-control дані у коментарях Steam-профілю за допомогою невидимих Unicode-символів, декодує їх усередині WordPress, підвантажує зовнішній JavaScript на публічних сторінках і залишає cookie-автентифікований серверний бекдор для зміни файлів плагінів і тем.

Практичний висновок вузький: якщо скомпрометований WordPress-сайт підвантажує дивний скрипт із hello-mywordl[.]info, містить підозрілий handle на кшталт asahi-jquery-min-bundle або має обфускований PHP, який читає коментарі Steam-профілю, очищення має охоплювати і JavaScript для відвідувачів, і цілісність серверних файлів. Видалення лише видимого скрипта може залишити атакувальнику шлях назад.

Що знайшла GoDaddy

GoDaddy Security повідомляє, що вперше виявила цю кампанію у липні 2025 року й бачила шкідник приблизно на 1 980 WordPress-сайтах. Техніка незвична тим, що шкідник не покладається лише на очевидний сервер зловмисника. Він завантажує сторінки Steam Community, витягує вміст коментарів профілю, прибирає видимий текст-приманку й декодує приховані дані з невидимих Unicode-символів, зокрема zero-width joiner та споріднених code points.

Після декодування WordPress-шкідник може сформувати URL для підвантаження JavaScript. У зразку GoDaddy декодований URL вказував на hello-mywordl[.]info/js/lodash[.]core[.]min[.]js, тобто назву, схожу на звичайну JavaScript-бібліотеку. Шкідник також використовує нормальні WordPress API та випадкові назви функцій, тому швидкий пошук одного очевидного рядка може нічого не знайти.

ОзнакаЧому це важливо
hello-mywordl[.]infoЗовнішній JavaScript-хост, який GoDaddy бачила під час аналізу. Перевірте source сторінок, вміст бази, файли тем/плагінів і server logs.
asahi-jquery-min-bundleHandle скрипта, який маскує шкідливе підключення під звичайний JavaScript bundle.
Запити до Steam-профілівНеочікувані звернення з WordPress PHP-коду до Steam Community можуть вказувати на етап отримання прихованого C2.
Невидимі Unicode-послідовностіZero-width символи можуть переносити закодовані дані, поки видимий текст коментаря здається безпечним.
POST-запити з незвичними cookiesGoDaddy описує cookie-автентифікований бекдор для keepalive та оновлення коду.

Кому потрібно перевірити сайт

Найвищий ризик мають власники WordPress-сайтів, де є невідомі плагіни, старі nulled-теми, покинутий custom code, слабкі admin-паролі або попереднє неповне очищення від шкідника. Користувачам shared hosting також варто попросити хостинг перевірити історію зміни файлів і outbound-запити, бо шкідливий PHP може сидіти у файлі плагіна чи теми, а публічний симптом виглядатиме лише як підключений скрипт.

Для відвідувачів ризик залежить від того, що саме віддає інжектований JavaScript у момент завантаження сторінки. Скомпрометований сайт може стати посадковою сторінкою для redirect, фальшивих перевірок, phishing або malware delivery. Це перетинається з іншими випадками отруєних сайтів і ClickFix, але характерна ознака цієї кампанії — канал з коментарями Steam-профілю для прихованих інструкцій.

Що зробити зараз

  1. Перевірте server logs, cached HTML і source сторінок на hello-mywordl.info, lodash.core.min.js і підозрілі script handles, які імітують поширені бібліотеки.
  2. Перегляньте нещодавно змінені PHP-файли тем і плагінів, особливо код із hooks wp_enqueue_scripts, template_redirect або функціями запису файлів.
  3. Шукайте PHP, який звертається до Steam Community profile pages або обробляє невидимі Unicode-символи. Для звичайних WordPress-плагінів це нетипова поведінка.
  4. Відновіть core, plugins і themes з чистих vendor-джерел там, де це можливо. Не обмежуйтеся видаленням JavaScript URL, якщо серверний бекдор лишається.
  5. Після очищення файлової системи змініть паролі WordPress admins, hosting panel, SFTP/SSH, database credentials та API keys.
  6. Вимкніть dashboard file editing через DISALLOW_FILE_EDIT, приберіть невикористані plugins/themes і посильте file permissions відповідно до WordPress hardening guidance.
  7. Перевірте Windows-станцію адміністратора, якщо з неї нещодавно завантажували plugins, редагували theme files або зберігали credentials. Gridinsoft Anti-Malware може допомогти знайти stealers чи backdoors перед повторним використанням паролів.
  8. Використайте Gridinsoft Online Virus Scanner для підозрілих файлів і Gridinsoft URL Scanner, щоб перевірити домен після cleanup.

Якщо сайт нещодавно показував фальшиві перевірки або шкідливі redirects, порівняйте цей випадок із Ghost CMS ClickFix poisoning та Gogs RCE open-registration risk. Для broader ризиків WordPress-адміністрування дивіться також WP Maps Pro CVE-2026-8732.

FAQ

Це означає, що Steam-акаунти зламані?

Ні. Описана техніка зловживає публічними коментарями Steam Community як місцем для прихованих інструкцій. Ризик стосується скомпрометованих WordPress-сайтів і їхніх відвідувачів, а не звичайних Steam-користувачів лише через наявність акаунта.

Чи достатньо видалити зовнішній JavaScript?

Ні. GoDaddy описує і client-side script injection, і server-side backdoor. Якщо PHP-бекдор залишається у файлі плагіна чи теми, атакувальник може знову змінити код.

Що перевірити першим на невеликому WordPress-сайті?

Почніть із source сторінок і server logs для hello-mywordl.info, потім перегляньте нещодавно змінені plugin/theme files і PHP, який неочікувано звертається до Steam Community або декодує невидимий Unicode.

Якщо WordPress уже демонструє ознаки компрометації, перевірте не лише бекдори, а й вразливі плагіни. Kirki CVE-2026-8206 показує, як помилка скидання пароля може відкрити шлях до захоплення адміністратора.

Джерела

  1. GoDaddy Security. “Malware Targeting WordPress Abuses Steam Community Profiles for Command & Control Operations.” GoDaddy Blog, accessed June 2, 2026. https://www.godaddy.com/resources/news/malware-targeting-wordpress-abuses-steam-community-profiles
  2. WordPress.org. “Hardening WordPress.” WordPress Advanced Administration Handbook, accessed June 2, 2026. https://developer.wordpress.org/advanced-administration/security/hardening/

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.