↖️Группа с финансовой мотивацией, помеченная как UNC5142, распространяла инфостилеры (Atomic/AMOS, Lumma, Rhadamanthys, Vidar) через компрометированные WordPress-сайты и хитрую технику EtherHiding - код и указатели прячутся не в обычном хранилище, а в смарт-контрактах на BNB Smart Chain. По данным Google, к июню 2025 вешали заражённый JavaScript примерно на 14 000 страниц На сайт внедряют первый-стадийный JS (в файлы плагинов, темы или прямо в БД), он обращается к смарт-контракту, тот возвращает ссылку на посадочную страницу CLEARSHORT. Дальше идёт классика: жертве предлагают скопировать и вставить команду в Run/Terminal. На Windows команда загружает HTA с MediaFire ➡️ PowerShell скачивает зашифрованный полезный груз и исполняет его в памяти. На macOS жертву просят запустить bash-команду, curl тянет шифрованный стрипт и запускает Atomic Как защититься? 🟠Удалить внедрённый JS на сайтах (плагины/темы/БД) 🟠Контролировать загрузку внешних скриптов; 🟠Патчить и минимизировать плагины WordPress, запретить исполнение PHP в директориях загрузок; 🟠Блокировать подозрительные исходящие запросы с веб-серверов и мониторить обращения к необычным хостам/Cloudflare .dev/MediaFire/GitHub-URL 🟠Обучить сотрудников не вставлять команды из браузера в Run/Terminal и ограничивать возможность запуска команд пользователями 🟠Иметь оффлайн-резервные копии и ротацию секретов (ключи/токены), если сайт был скомпрометирован