Aanvallers hebben meer dan zevenhonderd websites die draaien op het Ghost contentmanagementsysteem (CMS) via een kritieke kwetsbaarheid gehackt en voorzien van ClickFix-code. De toegevoegde code laat bezoekers weten dat ze een zogenaamde Cloudflare-captcha moeten oplossen. De gegeven instructies zorgen er echter voor dat het systeem besmet raakt met malware. Dat meldt cybersecuritybedrijf Qianxin in een analyse.

Ghost is een Node.js-gebaseerd CMS-platform waarmee websites content kunnen publiceren. Een kritieke SQL Injection-kwetsbaarheid in de software (CVE-2026-26980) maakt het mogelijk voor ongeauthenticeerde aanvallers om onder andere inloggegevens en authenticatie-tokens uit de database te stelen. De Ghost-ontwikkelaars kwamen op 16 februari met versie 6.19.1 waarin het probleem is opgelost.

Onderzoekers van Qianxin detecteerden op 7 mei dat aanvallers misbruik van de kwetsbaarheid maken. Via het lek stelen de aanvallers eerst de admin API key. Vervolgens wordt aan elke pagina van de website malafide JavaScript toegevoegd. Deze code toont gebruikers een melding dat ze een zogenaamde Cloudflare-captcha moeten oplossen. Hiervoor moeten instructies in bijvoorbeeld het Windows Run-venster worden uitgevoerd. Deze instructies zorgen ervoor dat er malware wordt gedownload en uitgevoerd.

Volgens de onderzoekers hebben deze aanvallen in het geval van de gehackte Ghost CMS-sites meer kans van slagen, omdat bezoekers deze websites al vertrouwen. Verder stellen de onderzoekers dat ze de eigenaren van de gehackte websites hebben gewaarschuwd, maar dat die in de meeste gevallen niet reageerden en de malafide code nog steeds actief is.