Des acteurs malveillants exploitent une faille de sécurité critique récemment divulguée dans **Ghost CMS** pour injecter du code JavaScript malveillant dans le but d'alimenter des attaques ClickFix. ### CVE-2026-26980 : Une vulnérabilité critique d'injection SQL Selon **QiAnXin XLab**, l'activité implique l'exploitation de **CVE-2026-26980** (score CVSS : 9.4), une vulnérabilité d'injection SQL dans l'API de contenu de Ghost qui pourrait permettre à un attaquant non authentifié de lire des données arbitraires de la base de données. La vulnérabilité a été corrigée en février 2026 dans la version 6.19.1. La vulnérabilité a été découverte par **Anthropic** à l'aide de **Claude**. Ce qui rend la vulnérabilité grave, c'est qu'elle permet à un attaquant d'accéder à la clé API d'administration d'un site sans autorisation, lui donnant la capacité de « empoisonner » le site en injectant du code malveillant. La clé API d'administration peut être utilisée pour appeler l'API d'administration et modifier directement les articles publiés sur le système de gestion de contenu. ### Campagne de « poison » massive L'acteur malveillant a exploité la faille de sécurité pour « obtenir la clé API d'administration du site cible sans autorisation, puis a utilisé l'API d'administration de Ghost pour falsifier des articles en masse, en injectant des chargeurs JavaScript malveillants en bas des pages pour faciliter les fausses attaques CAPTCHA », a déclaré XLab. L'activité a été décrite par le fournisseur de sécurité chinois comme une campagne de « poison à grande échelle » qui utilise la faille de Ghost CMS comme arme. Au moins deux groupes d'acteurs malveillants distincts sont considérés comme étant à l'origine de la campagne, implantant dans certains cas du code malveillant sur certains sites en une seule journée. Elle a été détectée pour la première fois le 7 mai 2026. Au total, la campagne a compromis plus de 700 sites Web, couvrant les secteurs universitaires, de la blockchain, de l'intelligence artificielle, du logiciel en tant que service (SaaS), de la recherche en sécurité, des médias et de la technologie financière. Le fait que des sites Web légitimes aient été piratés pourrait augmenter le taux de réussite des attaques ClickFix, a déclaré XLab. ### Analyse de la chaîne d'attaque Le code JavaScript injecté en bas d'un article fonctionne comme un chargeur en deux étapes responsable de la récupération de la charge utile principale à l'exécution à partir d'un domaine externe (« clo4shara[.]xyz/11z77u3.php »). Cette architecture offre une flexibilité supplémentaire car elle permet à l'acteur malveillant de remplacer les charges utiles en fonction de différents critères, tout en conservant la fonctionnalité du chargeur intacte sur plusieurs sites compromis.  « Accéder directement à clo4shara[.]xyz/11z77u3.php révèle un morceau de code, qui est en fait un script typique de distribution de trafic », a expliqué XLab. « Sa fonction principale est de collecter diverses informations d'empreinte du navigateur de l'utilisateur et de les téléverser sur le serveur, puis d'effectuer des actions telles que la redirection, les popups et les téléchargements en fonction des instructions renvoyées. » Le script PHP est alimenté par **Adspect**, un service de cloaking commercial. L'idée derrière l'utilisation du script de cloaking est de s'assurer que seules les vraies victimes reçoivent la charge utile réelle, tandis que les scanners de sécurité et les robots d'exploration ne verront qu'une page Web bénigne. Le script prend également en charge 19 commandes différentes pour exécuter du code JavaScript arbitraire et faciliter le contrôle à distance du navigateur de la victime. Les visiteurs du site considérés comme les cibles prévues reçoivent finalement une fausse page de vérification CAPTCHA dans un élément HTML iframe pour prouver qu'ils sont humains. Cela déclenche à son tour une attaque ClickFix, dans le cadre de laquelle ils sont invités à copier-coller une commande encodée en Base64 dans la boîte de dialogue Exécuter de Windows. La commande sert de « dropper » pour livrer une archive ZIP et en extrait un script batch Windows qu'elle exécute. Le script, pour sa part, exécute une commande **PowerShell** pour télécharger un fichier DLL à partir d'un domaine distant, le lancer à l'aide de « rundll32.exe », et ouvrir une fausse page Web à l'utilisateur comme distraction. Des itérations ultérieures du malware ont été trouvées pour remplacer la DLL par une charge utile JavaScript. Indépendamment du type de charge utile, l'objectif final de l'attaque est de déposer un exécutable **Windows**. Dans le cas de la DLL, l'exécutable est un client **PuTTY** avec un certificat de signature de code valide. Le binaire distribué via JavaScript est un installateur Inno Setup pour une application **Electron**. L'application est une version modifiée du client de bureau Grape open-source conçue pour assurer la persistance et interroger un serveur distant (« web-telegram[.]ug ») toutes les 30 secondes pour traiter les instructions émises par l'attaquant, y compris l'exécution de code JavaScript ou de fichiers exécutables. ### Étapes d'atténuation Il est conseillé aux utilisateurs de Ghost CMS de mettre à jour leurs instances vers la dernière version, de réinitialiser tous les identifiants, de nettoyer les sites, d'auditer les journaux d'accès pour détecter les signes d'activité suspecte et de notifier les utilisateurs qui auraient pu visiter les sites pendant la période de contamination pour une compromission potentielle.