Les attaquants compromettent 700 sites Ghost CMS pour mener des attaques ClickFix

Une campagne de piratage à grande échelle exploitant une vulnérabilité critique de Ghost CMS (CVE-2026-26980) a infecté plus de 700 sites web, les exposant à des attaques « ClickFix » qui poussent les utilisateurs à effectuer une fausse vérification de sécurité.

Traduction complète

Des attaquants injectent du code JavaScript malveillant en exploitant une faille de sécurité critique récemment divulguée dans Ghost CMS, dans le but de déployer des attaques ClickFix qui incitent les utilisateurs à effectuer une fausse vérification de sécurité.

Selon QiAnXin XLab, cette attaque exploite CVE-2026-26980 (score CVSS : 9,4), une vulnérabilité d'injection SQL découverte dans l'API de contenu de Ghost. Cette faille permet à un attaquant non authentifié de lire des données arbitraires dans la base de données. Elle a été corrigée dans la version 6.19.1, publiée en février 2026, et la vulnérabilité elle-même a été découverte par Anthropic à l'aide de son IA Claude.

Cette vulnérabilité est particulièrement dangereuse, car elle permet à un attaquant de dérober la clé d'API administrateur du site sans disposer d'aucun privilège. Une fois cette clé obtenue, l'attaquant peut modifier directement les articles publiés dans Ghost CMS, ce qui lui permet d'injecter du code malveillant sur le site dans le cadre de ce que l'on appelle une « contamination de contenu ».

XLab a expliqué que « les attaquants ont exploité cette faille pour obtenir illicitement les clés d'API administrateur des sites visés, puis ont utilisé l'API administrateur de Ghost pour altérer massivement les articles », ajoutant qu'« ils ont injecté un chargeur JavaScript malveillant en bas des pages afin de faciliter une fausse attaque de vérification CAPTCHA ».

La société chinoise de cybersécurité XLab qualifie cette activité de campagne de « contamination massive » exploitant à des fins offensives une faille de Ghost CMS. Au moins deux groupes de menaces distincts seraient à l'origine de cette campagne, et sur certains sites, du code malveillant a été implanté seulement un jour après l'exposition de la vulnérabilité. L'attaque a été détectée pour la première fois le 7 mai 2026.

À ce jour, plus de 700 sites web ont été compromis par cette campagne, dans des domaines allant des universités à la blockchain, l'intelligence artificielle (IA), le software-as-a-service (SaaS), la recherche en sécurité, les médias et la fintech {b:100}. XLab avertit que le fait que des sites légitimes et dignes de confiance aient été piratés augmente la probabilité que les utilisateurs se laissent piéger, ce qui peut encore accroître le taux de réussite des attaques ClickFix.

Le code JavaScript injecté en bas des articles sert de chargeur en deux étapes et, lorsqu'un utilisateur ouvre la page, il récupère la charge utile principale depuis un domaine externe ("clo4shara[.]xyz/11z77u3.php"). Cette architecture offre une grande flexibilité aux attaquants : ils peuvent conserver le même chargeur sur plusieurs sites compromis tout en remplaçant facilement la charge utile principale à tout moment, selon leurs propres critères.

XLab a déclaré que « si l'on accède directement à cette adresse (clo4shara[.]xyz/11z77u3.php), on peut voir du code correspondant à un script classique de répartition du trafic », ajoutant que « la fonction centrale de ce script est de collecter divers éléments de fingerprint du navigateur de l'utilisateur et de les envoyer au serveur, puis d'exécuter des actions malveillantes comme des redirections, l'affichage de pop-up ou des téléchargements selon les instructions renvoyées par le serveur ». Ce script PHP fonctionne sur la base d'Adspect, un service commercial de cloaking (contrôle d'accès et dissimulation).

L'objectif de l'utilisation de tels scripts de cloaking est de ne montrer que des pages web normales aux dispositifs de détection de sécurité ou aux crawlers, tout en ne livrant la charge utile malveillante qu'aux utilisateurs ordinaires réellement visés. Le script prend également en charge 19 commandes différentes permettant d'exécuter du code JavaScript arbitraire et de contrôler à distance le navigateur de la victime.

Pour les visiteurs identifiés comme cibles, une fausse page de vérification CAPTCHA s'affiche à l'écran via un élément HTML iframe, les invitant à prouver qu'ils ne sont pas des robots. C'est à ce moment que l'attaque ClickFix commence réellement : l'utilisateur est incité, en suivant les instructions affichées, à copier une commande encodée en Base64 puis à la coller dans la boîte de dialogue Exécuter de Windows.

Lorsque l'utilisateur exécute cette commande, un dropper se lance pour télécharger une archive ZIP, la décompresser et exécuter le script batch Windows qu'elle contient. Ce script batch exécute ensuite une commande PowerShell pour télécharger un fichier DLL depuis un domaine distant, puis l'exécute via rundll32.exe. En parallèle, il ouvre une fausse page web de diversion afin d'éviter d'éveiller les soupçons de l'utilisateur.

Dans des variantes plus récentes du malware, une charge utile JavaScript a parfois été utilisée à la place du fichier DLL. Mais quelle que soit la forme de la charge utile, l'objectif final de cette attaque est d'installer un exécutable Windows (EXE) sur le PC de l'utilisateur. Dans la version DLL, l'exécutable installé est le client PuTTY accompagné d'un certificat de signature de code valide, tandis que le binaire diffusé via JavaScript est présenté comme un installateur Inno Setup pour une application Electron.

L'application ainsi installée est une version modifiée du client desktop open source Grape. Elle persiste sur le système, contacte toutes les 30 secondes un serveur distant ("web-telegram[.]ug") pour vérifier les commandes envoyées par l'attaquant, et se charge d'exécuter du code JavaScript ou des fichiers exécutables.

Les utilisateurs de Ghost CMS doivent immédiatement mettre à niveau leur instance vers la dernière version afin d'éviter toute compromission, puis réinitialiser tous les identifiants d'authentification, y compris les mots de passe et les clés d'API. Il est également recommandé de nettoyer soigneusement le site, d'auditer attentivement les journaux d'accès à la recherche d'activités suspectes, et d'avertir les utilisateurs susceptibles d'avoir visité le site pendant la période de contamination du risque de piratage.