攻撃者は、最近公開された**Ghost CMS**の重大なセキュリティ脆弱性を悪用し、ClickFix攻撃を促進する目的で悪意のあるJavaScriptコードを注入しています。 ### CVE-2026-26980：重大なSQLインジェクション脆弱性 **QiAnXin XLab**によると、この活動は、GhostのContent APIにおけるSQLインジェクション脆弱性である**CVE-2026-26980**（CVSSスコア：9.4）の悪用を含んでいます。この脆弱性により、認証されていない攻撃者がデータベースから任意のデータを読み取ることが可能になります。この脆弱性は、2026年2月にバージョン6.19.1で修正されました。この脆弱性は、**Anthropic**が**Claude**を使用して発見しました。 この脆弱性が深刻なのは、攻撃者がサイトの管理APIキーに不正にアクセスできるため、悪意のあるコードを注入してサイトを汚染する能力を与えることです。管理APIキーは、管理APIを呼び出すために使用でき、コンテンツ管理システムに公開されている記事を直接変更できます。 ### 大規模な汚染キャンペーン 攻撃者は、このセキュリティ上の欠陥を利用して「ターゲットサイトの管理APIキーを不正に取得し、その後Ghost管理APIを使用して記事を一括で改ざんし、偽のCAPTCHA攻撃を支援するためにページの下部に悪意のあるJavaScriptローダーを注入した」とXLabは述べています。 この活動は、中国のセキュリティベンダーによって、Ghost CMSの脆弱性を武器化した「大規模な汚染」キャンペーンとして説明されています。少なくとも2つの異なる脅威クラスターがこのキャンペーンの背後にいると評価されており、一部のケースではわずか1日で特定のサイトに悪意のあるコードが埋め込まれました。これは2026年5月7日に初めて検出されました。 合計で、このキャンペーンは大学、ブロックチェーン、人工知能、ソフトウェア・アズ・ア・サービス（SaaS）、セキュリティリサーチ、メディア、金融テクノロジーセクターにまたがる700以上のウェブサイトを侵害しました。正規のウェブサイトが侵害されたという事実は、ClickFix攻撃の成功率をさらに高める可能性があるとXLabは述べています。 ### 攻撃チェーン分析 記事の下部に注入されたJavaScriptコードは、実行時に外部ドメイン（"clo4shara[.]xyz/11z77u3.php"）からメインのペイロードを取得する役割を担う2段階のローダーとして機能します。このアーキテクチャは、攻撃者がペイロードを異なる基準に基づいて入れ替えることを可能にし、ローダー機能を複数の侵害されたサイト全体でそのまま維持できるため、柔軟性が向上します。  "clo4shara[.]xyz/11z77u3.php"に直接アクセスすると、実際には典型的なトラフィック配布スクリプトであるコードが表示されます。XLabは次のように説明しています。「その主な機能は、ユーザーのブラウザからさまざまなフィンガープリント情報を収集し、サーバーにアップロードしてから、返された指示に基づいてリダイレクト、ポップアップ、ダウンロードなどのアクションを実行することです。」このPHPスクリプトは、商用クローキングサービスである**Adspect**によって強化されています。 クローキングスクリプトを使用する考え方は、実際のペイロードが正規の被害者のみに配信され、セキュリティスキャナーやクローラーには無害なウェブページのみが表示されるようにすることです。このスクリプトは、任意のJavaScriptコードを実行し、被害者のブラウザのリモート制御を容易にするための19種類の異なるコマンドもサポートしています。 意図されたターゲットと見なされたサイト訪問者は、最終的にiframe HTML要素内に偽のCAPTCHA検証ページを表示され、人間であることを証明するように求められます。これにより、ClickFix攻撃がトリガーされ、その一部として、Base64エンコードされたコマンドをWindowsの実行ダイアログにコピー＆ペーストするように指示されます。 このコマンドは、ZIPアーカイブを配信するためのドロッパーとして機能し、そこからWindowsバッチスクリプトを抽出し、それを実行します。このスクリプトは、次に、PowerShellコマンドを実行してリモートドメインからDLLファイルをダウンロードし、"rundll32.exe"を使用してそれを起動し、気をそらすためにユーザーに偽のWebページを開きます。 マルウェアのその後のイテレーションでは、DLLがJavaScriptペイロードに置き換えられていることが発見されています。ペイロードの種類にかかわらず、攻撃の最終的な目標は、Windows実行可能ファイルをドロップすることです。DLLの場合、実行可能ファイルは有効なコード署名証明書を持つPuTTYクライアントです。JavaScriptを介して配布されるバイナリは、Electronアプリケーション用のInno Setupインストーラーです。 このアプリケーションは、永続性を達成し、攻撃者が発行したJavaScriptコードまたは実行可能ファイルの実行を含む指示を処理するために、30秒ごとにリモートサーバー（"web-telegram[.]ug"）にポーリングするように設計された、オープンソースのGrapeデスクトップクライアントの変更バージョンです。 ### 緩和策 Ghost CMSユーザーは、インスタンスを最新バージョンにアップグレードし、すべての認証情報をローテーションし、サイトをクリーンアップし、不審なアクティビティの兆候がないかアクセスログを監査し、汚染期間中にサイトを訪問した可能性のあるユーザーに潜在的な侵害について通知することを推奨します。