Taktik Terselubung: Kampanye Malware WordPress Sembunyikan Payload di Kolom Komentar Profil Steam
Sebuah metode serangan siber yang sangat cerdas dan tidak biasa berhasil dibongkar oleh tim insinyur keamanan dari GoDaddy. Sebanyak hampir 2.000 situs web berbasis WordPress dikonfirmasi telah terinfeksi oleh malware yang memanfaatkan kolom komentar pada profil komunitas platform game Steam (Valve) untuk menyembunyikan data perintah dan kendali (Command-and-Control / C2).
Dengan menyalahgunakan infrastruktur milik Valve yang bereputasi tinggi, kelompok peretas (threat actors) berhasil menghindari deteksi sistem keamanan tradisional serta tidak perlu repot-repot menyewa infrastruktur server C2 terpisah yang rawan diblokir.
Mekanisme Serangan: Memanfaatkan Karakter Unicode Tak Terlihat (Invisible Characters)
Kampanye hitam yang terdeteksi telah berjalan sejak Juli 2025 ini tercatat telah menginfeksi sedikitnya 1.980 situs WordPress. Alur pipa data serangan ini bekerja melalui beberapa tahapan sirkuit komputasi yang sangat rapi:
[Situs WordPress Terinfeksi] ──► Mengirim Permintaan ke Profil Steam Tertentu
│
▼
[Kolom Komentar Profil Steam Terlihat Normal / ASCII Art]
│ (Mengandung 6 Karakter Unicode Gaib)
▼
[Malware Melakukan Decoding & Membangun URL Malisius]
│
▼
[Injeksi JavaScript & Penanaman Backdoor PHP di WordPress]
Ketika ada pengguna yang memuat halaman situs WordPress yang telah terinfeksi, skrip malware tahap pertama (first-stage) di latar belakang akan diam-diam mengirimkan koneksi keluar menuju halaman profil Steam yang telah ditentukan oleh peretas. Di halaman profil tersebut, peretas telah meninggalkan komentar yang sekilas tampak normal atau berbentuk seni teks (ASCII art).
Namun, di balik karakter teks yang terlihat oleh mata manusia, peretas menyisipkan enam jenis karakter Unicode tak terlihat (gaib) untuk menyembunyikan kode biner payload asli:
| Nama Karakter Unicode | Kode Heksadesimal |
| Zero-width non-joiner | U+200C |
| Zero-width joiner | U+200D |
| Function application | U+2061 |
| Invisible times | U+2062 |
| Invisible separator | U+2063 |
| Invisible plus | U+2064 |
Skrip dekoder pada WordPress yang terinfeksi akan mengabaikan seluruh karakter huruf biasa, lalu memetakan enam karakter gaib tersebut ke dalam satuan angka digital, mengubahnya menjadi deretan kode biner, dan merekonstruksinya kembali menjadi sirkuit alamat URL malisius: hello-mywordl[.]info.
Tahap Akhir: Manipulasi Pustaka JavaScript dan Pintu Belakang PHP
Setelah URL berhasil dibangun, situs WordPress akan mengunduh kode JavaScript berbahaya dari domain tersebut dan menyuntikkannya ke setiap halaman depan (frontend) situs.
- Penyamaran File: Guna mengelabui pengelola situs, file JavaScript malisius ini diberi nama yang menyerupai pustaka (library) legal, seperti
asahi-jquery-min-bundleataulodash.core.min.js. - Injeksi Backdoor: Tahap akhir dari infeksi ini adalah penanaman pintu belakang (backdoor) berbasis bahasa pemrograman PHP. Backdoor ini dirancang sangat selektif; ia hanya akan merespons permintaan POST eksternal dari peretas yang membawa cookie otentikasi khusus, yaitu
"tEcaKKXEsb". Jika cookie tersebut cocok, backdoor akan menerima, menerjemahkan, dan mengeksekusi kode PHP terenkripsi base64 yang dikirimkan peretas untuk menguasai server secara penuh.
GoDaddy mencatat malware ini memiliki mekanisme penghindaran (evasion) yang sangat matang, seperti pengaburan string (obfuscated strings) menggunakan kode escape oktal dan heksadesimal, pengacakan nama fungsi, hingga memanipulasi API standar WordPress agar aktivitasnya menyatu dengan lalu lintas data normal.
Panduan Deteksi dan Langkah Mitigasi Pemilik Situs
Hingga saat ini, vektor infeksi awal (initial infection vector) masih belum diketahui secara pasti. Namun, para peneliti menduga celah masuknya bervariasi mulai dari kebocoran kredensial login admin (stolen FTP/SFTP), eksploitasi kerentanan pada tema (theme) atau plugin WordPress yang tidak diperbarui, hingga serangan rantai pasokan (supply-chain compromise).
Bagi para pemilik situs web dan tim praktisi keamanan siber, berikut adalah Indikator Kompromi (IoC) dan langkah mitigasi yang harus segera diperiksa:
1. Indikator Kompromi (IoC) yang Harus Diwaspadai
- Adanya koneksi keluar (outbound connections) yang mencurigakan dari server WordPress menuju domain komunitas Steam (
steamcommunity.com). - Adanya skrip eksternal yang dimuat dari domain
hello-mywordl[.]info. - Ditemukannya kode JavaScript asing dengan nama file mencurigakan seperti
asahi-jquery-min-bundle. - Adanya entri cache janggal pada database WordPress bernama
_transient_caption_. - Adanya konfigurasi cURL pada skrip PHP situs yang mematikan fungsi verifikasi enkripsi SSL (disabled SSL verification).
- Adanya aktivitas permintaan POST tidak dikenal yang mengandung parameter
new_code.
2. Langkah Pemulihan Darurat
Jika situs Anda terkonfirmasi positif terinfeksi, GoDaddy sangat menyarankan tim IT untuk memprioritaskan pemulihan situs menggunakan data cadangan (backup) bersih yang diambil dari tanggal sebelum infeksi terjadi.
Jika terpaksa melakukan pembersihan secara manual, proses pembersihan sasis kode harus dilakukan dengan sangat teliti dan menyeluruh hingga ke akar database. Sifat alami dari backdoor ini mengizinkan peretas untuk langsung menginstalasi ulang seluruh file malware yang telah dihapus dalam hitungan detik apabila ada satu saja komponen kecil skrip siber mereka yang terlewat untuk dibersihkan.
Sumber: Laporan Investigasi GoDaddy Security
