Sebuah kampanye serangan siber berskala masif dilaporkan tengah gencar mengeksploitasi kerentanan kritis SQL Injection (CVE-2026-26980) yang bersarang pada sistem manajemen konten (Ghost CMS). Penyerang memanfaatkan celah ini untuk menyuntikkan kode JavaScript berbahaya yang memicu alur penipuan mekanis bernama ClickFix guna menginfeksi perangkat komputer para pengunjung situs.
Kampanye berbahaya ini berhasil dibongkar oleh tim intelijen ancaman XLab dari perusahaan keamanan siber Tiongkok, Qianxin. Laporan forensik mereka mengonfirmasi bahwa serangan ini telah melumpuhkan lebih dari 700 domain web di seluruh dunia, mencakup portal universitas ternama, perusahaan kecerdasan buatan (AI/SaaS), media massa, firma fintech, situs keamanan siber, hingga blok pribadi.
Di antara ratusan korban kompromi tersebut, tim peneliti menemukan bahwa penyerang sukses menanamkan kode berbahaya pada sub-domain milik lembaga bergengsi seperti Harvard University, Oxford University, Auburn University, hingga platform pencari DuckDuckGo.
Mekanisme Celah CVE-2026-26980: Pencurian Kunci API Admin
Kerentanan CVE-2026-26980 berdampak pada Ghost CMS versi 3.24.0 hingga 6.19.0. Celah keamanan hulu ini memungkinkan penyerang jarak jauh tanpa otentikasi (unauthenticated attackers) untuk membaca data acak dari dalam database situs web, termasuk menguras Kunci API Admin (Admin API Keys).
Begitu Kunci API Admin ini jatuh ke tangan peretas, mereka secara otomatis mendapatkan hak akses pengelolaan penuh terhadap akun pengguna, artikel, hingga pengaturan tema situs. Hak istimewa inilah yang dieksploitasi untuk memodifikasi konten artikel secara massal tanpa terdeteksi oleh pemilik sah.
Meskipun tambalan keamanan (patch) resmi untuk mengatasi isu ini telah digulirkan oleh pengembang Ghost CMS sejak 19 Februari lalu pada versi 6.19.1, ribuan administrator situs web terpantau abai dan gagal menginstal pembaruan darurat tersebut.
Firma keamanan SentinelOne mencatatkan adanya fenomena perang wilayah (turf war) antar-kelompok peretas, di mana setidaknya dua klaster aktivitas berbeda terdeteksi saling memperebutkan sasis server Ghost yang rentan. Mereka berulang kali melakukan infeksi ulang, atau menghapus skrip berbahaya milik kelompok kompetitor demi menanamkan skrip milik mereka sendiri.
Rantai Serangan: Rekayasa Sosial Taktik “ClickFix”
Alur serangan (attack chain) yang didokumentasikan oleh XLab berjalan melalui serangkaian fase taktis yang sangat terstruktur:
[Eksploitasi SQLi CVE-2026-26980] ──> [Pencurian Admin API Key] ──> [Suntikan Pemuat JS di Artikel]
│
▼
[Eksekusi Malware Komputer Korban] <── [Trik ClickFix: Copy-Paste PowerShell] <── [Prompt Cloudflare Palsu via iFrame]
- Suntikan Pemuat Ringan (Lightweight Loader): Memanfaatkan API Key yang dicuri, peretas menyuntikkan skrip JavaScript pendek ke dalam artikel web. Skrip ini bertugas menarik kode tahap kedua dari server Command and Control (C2) penyerang.
- Pemindaian Sidik Jari Pengunjung (Cloaking & Fingerprinting): Kode tahap kedua bertindak sebagai skrip penyamaran yang memindai karakteristik perangkat pengunjung untuk memastikan apakah mereka memenuhi kriteria target (misalnya menggunakan OS Windows).
- Umpan Prom Cloudflare Palsu: Pengunjung yang lolos verifikasi akan disuguhi tampilan jendela prompt verifikasi manusia (CAPTCHA) palsu berselimut logo Cloudflare yang dimuat melalui elemen iFrame di atas artikel.
- Trik ClickFix: Jendela manipulatif tersebut menginstruksikan korban bahwa demi menyelesaikan verifikasi “Are you human”, mereka wajib menyalin (copy) sebuah perintah baris teks yang disediakan, membuka aplikasi Windows Command Prompt/PowerShell secara manual, lalu menempelkannya (paste) di sana.
Begitu korban terjebak melakukan perintah copy-paste berbahaya tersebut, sebuah instruksi penarikan otomatis akan berjalan dan menjatuhkan muatan biner (payload) final ke dalam sistem operasi mereka. XLab mendeteksi variasi biner yang disebarkan meliputi DLL loaders, JavaScript droppers, hingga sampel malware berbasis arsitektur Electron bernama UtilifySetup.exe.
Panduan Mitigasi untuk Administrator Situs
Mengingat detail indikator kompromi (IoC) dan cetak biru serangan ini telah terekspos secara luas, para pemilik situs web yang mengandalkan platform Ghost CMS didesak untuk segera mengambil langkah penyelamatan berikut:
- Pembaruan Versi Mutlak: Segera lakukan pembaruan sasis kode Ghost CMS Anda ke versi 6.19.1 atau yang lebih baru.
- Rotasi Kunci Akses: Lakukan rotasi total (revoke and rotate) terhadap seluruh Kunci API Admin, token integrasi, dan kata sandi yang pernah digunakan sebelumnya, karena ada risiko besar kredensial tersebut telah dieksfiltrasi oleh peretas.
- Pembersihan Skrip Malign: Lakukan peninjauan mendalam pada tabel database artikel untuk mendeteksi dan membuang sisa-sisa injeksi kode JavaScript asing.
- Retensi Log Jaringan: Sesuai rekomendasi para peneliti, pastikan sistem mencatat dan menyimpan rekam jejak panggilan Admin API (API call logs) minimal selama 30 hari ke belakang guna mempermudah proses investigasi forensik retroaktif jika ditemukan anomali perilaku server.