近两千WordPress网站被黑，攻击指令竟藏在你Steam主页

安全工程师盯着那个Steam个人主页看了整整二十分钟，愣是没发现评论区有什么异常。几条看起来正常到无聊的留言，什么"好人一生平安""加个好友一起玩"，读起来跟机器人发的都没区别。直到他们把这段文本拖进十六进制编辑器，屏幕上跳出一串不可见字符时，整个实验室安静了。GoDaddy安全团队在本周披露的一场持续数月的攻击活动中，发现攻击者用了一个此前极少在实战中见到的手法：把恶意软件的指挥控制（C2）数据，编码成肉眼不可见的Unicode字符，塞进Steam社区的个人资料评论区。截至目前，已经有大约1980个WordPress网站被植入这种恶意软件。

整个攻击链条的设计思路，用一句话概括就是：你家网站中招之后，会偷偷去翻某个Steam用户的评论区，从那些看似无害的留言里读出下一步该干什么。GoDaddy研究人员在报告中详细拆解了编码方案——攻击者使用了六种不可见Unicode字符来承载有效载荷，分别是零宽度非连接符（U+200C）、零宽度连接符（U+200D）、函数应用符（U+2061）、不可见乘号（U+2062）、不可见分隔符（U+2063）和不可见加号（U+2064）。解码器会忽略所有肉眼可见的字符，只把这六种不可见字符映射成对应的数字，再转换成二进制流，最后重组出字节。GoDaddy在报告中给了一句极其精准的描述，翻译过来是这样的：这套编码机制允许二进制数据被嵌入看起来完全正常的文本里，可见字符充当伪装，不可见字符才携带真正的载荷。

把Steam当C2服务器用，这招有多刁钻，搞安全的人一眼就能看明白。传统的恶意软件需要在某个VPS或者被控服务器上维护一个控制端，而一旦IP被拉黑、域名被 sinkhole 或者服务器被执法机构接管，整个僵尸网络就瘫痪了。但Valve的平台本身就是全球数千万玩家每天正常访问的基础设施，安全设备和防火墙不可能把Steam的域名一刀切地封掉。攻击者等于把"指挥所"开在了市中心最热闹的商场里，你明知道楼里某张桌子上有人在密谋，但你不能把整栋商场炸了。而且因为评论区本身是公开可读的，恶意软件只需要发一个HTTP请求去拉页面，这种行为混在正常流量里几乎分辨不出来。就算安全人员意识到了问题，去Steam上举报删评论，攻击者换一个账号再发几条就行，边际成本接近于零。

那黑客到底是怎么把这东西种进网站里的，GoDaddy目前还没法给一个确切答案。研究人员评估了可能的初始入侵途径，范围相当宽：被盗的管理员登录凭证、被泄露的FTP或SSH密钥、某个存在漏洞的WordPress主题或插件被利用，甚至不排除是供应链层面的污染。这个判断的潜台词其实是，攻击者并没有固定的一条路，而是逮到什么用什么。第一阶段植入的恶意软件会利用WordPress的页面加载事件，去访问特定的Steam个人资料页面，提取评论文本并解码，最终拼接出一个指向hello-mywordl[.]info的链接。这个域名下托管着伪装成合法JavaScript库的恶意代码，文件名起得极其讲究——比如asahi-jquery-min-bundle和lodash.core.min.js，任何一个前端开发者在日志里扫到这种名字，第一反应都会认为这是项目依赖的正常加载，不会多看一眼。

载荷执行到最终阶段时，植入的是一个后门。GoDaddy研究人员解释了这个后门的触发机制：它只响应特制的POST请求，而且请求里必须携带一个特定的认证cookie。如果检测到名为tEcaKKXEsb的cookie存在，后门就会通过POST参数接受base64编码的PHP代码并执行。换句话说，就算你发现服务器在往外发请求，如果你没有那个cookie的值，你发过去的指令后门压根不理你。这个设计直接干掉了一大票自动化扫描工具，因为扫描器通常是靠发送已知的恶意payload并观察响应来判断是否存在后门的，人家连门都不给你开，你扫什么。

GoDaddy还整理了一整套这个恶意软件用到的规避机制，读起来就像在翻一本APT攻防手册。字符串全部用八进制和十六进制转义混淆，函数名每次运行都随机化，代码里甚至塞了假的禁用日志语句来误导分析人员，同时全程使用WordPress原生的API，让自己的行为看起来跟正常的插件或主题调用没有任何区别。对于网站管理员来说，GoDaddy给出了一组自查清单，可以直接照着逐条过：检查代码里是否出现了指向Steam社区页面的URL引用、页面中是否被注入了来源不明的外部JavaScript、服务器是否存在向Steam域名的异常出站连接、以及是否有来自hello-mywordl[.]info等可疑域名的脚本被加载。其他需要警惕的迹象还包括页面源码中出现不可见Unicode字符、WordPress数据库里出现名为_transient_caption_的可疑缓存条目，以及SSL证书验证被手动禁用的情况。