Исследователи QiAnXin XLab зафиксировали массовую атаку на сайты, работающие под управлением Ghost CMS, в ходе которой злоумышленники использовали критическую уязвимость для внедрения вредоносного кода. В результате компрометации пострадало более 700 ресурсов, включая порталы университетов, медиа-площадки, SaaS-компании, финтех-сервисы и даже сайты, посвящённые информационной безопасности.Атака основана на технике ClickFix, когда жертве под видом проверки браузера предлагают скопировать и выполнить PowerShell-команду, что приводит к запуску вредоносного ПО. Злоумышленники внедряли JavaScript-загрузчики непосредственно в легитимные страницы Ghost CMS, что делало подмену практически незаметной для обычных пользователей.Уязвимость в Ghost CMS, по данным экспертов, позволяла удалённо выполнять код или изменять содержимое сайтов без авторизации. Точный вектор эксплуатации пока не раскрывается, однако известно, что проблема затрагивает актуальные версии платформы, и патч ещё не выпущен.Пострадавшие сайты использовали вредоносные скрипты для перенаправления посетителей на фишинговые страницы или прямого запуска вредоносных команд. Некоторые ресурсы были скомпрометированы настолько, что даже после очистки злоумышленники восстанавливали доступ через скрытые бэкдоры.На данный момент владельцам сайтов на Ghost CMS рекомендуется временно отключить загрузку сторонних скриптов и усилить мониторинг изменений в файловой системе.