В сети идёт массовая эксплуатация уязвимости CVE-2026-26980 в Ghost CMS. Через неё злоумышленники получили доступ к административным API-ключам сайтов, изменяли опубликованные статьи и вставляли в них вредоносный JavaScript. Исследователи QiAnXin XLab нашли больше 700 заражённых доменов. Среди затронутых ресурсов упоминались сайты, связанные с Harvard University, Oxford University, Auburn University и DuckDuckGo.
Ghost — это open source CMS для блогов, рассылок, медиа и платных подписок. Платформа используется не только личными блогами, но и техническими командами, стартапами, университетами, медиа, криптопроектами и SaaS-компаниями. Разработчики Ghost заявляют, что CMS используют больше 100 тысяч сайтов.
Проблема не новая. CVE-2026-26980 была раскрыта и исправлена ещё в феврале 2026 года. Уязвимость находится в Content API Ghost и позволяет неавторизованному атакующему читать произвольные данные из базы. GitLab Advisory указывает затронутые версии: начиная с 3.24.0 и до 6.19.1. Исправление вышло в Ghost 6.19.1.
Критичность высокая: CVSS — 9.4. Формально это SQL-инъекция, но в реальной атаке её использовали не просто для чтения данных. Атакующие вытаскивали Admin API Key — ключ, который даёт права на управление публикациями, пользователями, темами и другими административными объектами. После этого сайт уже можно было менять через легитимный Ghost Admin API.
Дальше схема превращалась в классическую цепочку заражения через доверенный сайт. В опубликованные статьи добавлялся лёгкий JavaScript-загрузчик. Он не нёс основную нагрузку сам, а подтягивал второй этап с инфраструктуры атакующих. Такой подход удобен: код в статье остаётся почти одинаковым, а содержимое второй стадии можно менять без повторного взлома сайта.
Второй этап показывал посетителю фальшивую проверку Cloudflare — типичный сценарий ClickFix. Пользователь видел страницу «проверки человека» и получал инструкцию открыть окно запуска команд Windows, вставить готовую строку и нажать Enter. В реальности эта команда запускала загрузку и выполнение вредоносного файла.
ClickFix опасен не сложностью кода, а психологией. Пользователь видит знакомую «проверку», доверяет сайту, на котором оказался, и выполняет действие сам. Антивирусу и браузеру сложнее остановить такой сценарий: вредоносная команда запускается руками жертвы, а исходная страница находится на реальном сайте, который раньше не выглядел подозрительным.
XLab описывает пятиэтапную цепочку: захват CMS, отравление страниц, загрузка второй стадии, социальная инженерия через FakeCaptcha/ClickFix и доставка вредоносного ПО. Исследователи увидели несколько вариантов полезной нагрузки: DLL-загрузчики, JavaScript-дропперы и Electron-приложение UtilifySetup.exe.
Кампания началась как минимум 7 мая 2026 года, когда XLab заметила признаки заражения Ghost-сайтов. Уже 10 мая исследователи насчитали 156 пострадавших доменов, а 17 мая — больше 700. Это указывает не на точечную атаку на один ресурс, а на массовое сканирование интернета в поисках Ghost-инсталляций без февральского обновления.
У кампании есть ещё одна неприятная деталь: в ней участвует минимум две группы. Некоторые сайты становились объектом борьбы — один вредоносный код заменял другой. Для владельца сайта это выглядит как «мы почистили страницу, а она снова заражена». На практике это означает, что компрометированный API-ключ или неустановленный патч остаются в системе, и атакующий может вернуться.
По категориям больше всего пострадали личные блоги и независимые сайты — около 48% найденных XLab доменов. Дальше идут software/SaaS/технические блоги, AI/ML-проекты, Web3 и криптовалютные ресурсы, образовательные сайты, медиа, финтех, безопасность и другие категории. Такой набор делает атаку особенно эффективной: пользователь охотнее доверяет странице университета, технического блога или известного сервиса, чем случайному домену без репутации.
SecurityWeek пишет, что среди затронутых были сайты крупных организаций, включая DuckDuckGo, Harvard и Oxford. BleepingComputer также указывает на университетские порталы, AI/SaaS-компании, медиа, финтех, security-сайты и личные блоги. Важно: речь идёт о заражении страниц на Ghost CMS, а не о доказанном взломе основных внутренних систем этих организаций.
Отдельный фактор риска — задержка реакции владельцев сайтов. XLab начала уведомлять пострадавших с 10 мая, но большинство уведомлений, по данным исследователей, осталось без ответа. Это типичная проблема CMS-инцидентов: сайт может быть малым, блог может поддерживаться «по остаточному принципу», а заражённая страница при этом обслуживает тысячи доверчивых посетителей.
Исправление уже есть, но одного обновления может быть недостаточно. Если атакующие успели вытащить Admin API Key, его нужно считать скомпрометированным. Владельцам Ghost-сайтов нужно обновиться до 6.19.1 или выше, ротировать ключи, проверить статьи на вставленные <script>-загрузчики, посмотреть журналы Admin API и серверные логи, а также удалить подозрительные темы, интеграции и неизвестные изменения в публикациях. BleepingComputer отдельно указывает рекомендацию хранить как минимум 30 дней логов Admin API для ретроспективного расследования.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
