البيانات التي يمكن أن تتسرب تشمل كلمات مرور مشفرة بنظام bcrypt، وأسرار الجلسات، والأخطر من ذلك: مفاتيح Admin API . هذه المفاتيح تفتح الباب على مصراعيه أمام واجهة Ghost Admin API، التي تمتلك صلاحيات كاملة لإنشاء وتعديل المقالات والصفحات ومحتوى الموقع.
وصل التحديث العلاجي بهدوء في إصدار Ghost 6.19.1، لكن الكثير من المشغلين لم يقوموا بتثبيته، تاركين الباب مفتوحاً على مصراعيه للاستغلال .
اكتشف فريق "XLab" لأبحاث التهديدات السيبرانية التابع لشركة "تشيان شين" (Qianxin) الصينية الحملةَ في مايو 2026، وقد تمكنت بالفعل من تسميم أكثر من 700 نطاق، بما في ذلك مواقع ذات سمعة مرموقة . من بين الضحايا المؤكدين بوابات تملكها جامعة هارفارد، وجامعة أكسفورد، وجامعة أوبورن، ومحرك البحث المهتم بالخصوصية "دك دك جو" (DuckDuckGo)
.
ما يزيد الوضع سوءاً أن مجموعتي تهديد متنافستين على الأقل تتسابقان لاختراق نفس المواقع الضعيفة. في بعض الحالات، لاحظ الباحثون أن موقع Ghost واحداً حُقن بكود خبيث من إحدى المجموعات، ليتم إعادة اختراقه من قبل مجموعة منافسة بعد ساعات فقط .
كود JavaScript المحقون صغير الحجم عن قصد؛ فهو يعمل بمثابة مُحمِّل ثنائي المراحل يجلب أكواد الهجوم الفعلية من خادم خارجي . من بين الحمولات التي تم رصدها:
نظرًا لأن سلسلة الهجوم تشمل قراءة من قاعدة البيانات والتلاعب بمحتوى موثوق، فيجب أن تعالج خطة الإصلاح الثغرة نفسها والأضرار اللاحقة للاختراق المحتمل.
slug غير اعتيادية، بالإضافة إلى أنشطة التحديث الجماعي على المقالات التصحيحات الأمنية تُنشر بسرعة، لكن التبني هو دائماً عنق الزجاجة الحقيقي. هذه الحملة تذكير قاسٍ بأن ثغرات أنظمة إدارة المحتوى عالية الخطورة لا تختفي بعد الكشف عنها، بل تتحول إلى ذخيرة، والمهاجمون سيستهدفون بنشاط المؤسسات التي لم تتلق الرسالة بعد.