Les données exposées peuvent inclure des hashs de mots de passe bcrypt, des secrets de session et, surtout, les clés d'API administrateur . Ces clés ouvrent une porte bien plus grande : l'API d'administration de Ghost, qui a le pouvoir total de créer et de modifier des articles, des pages et le contenu du site.
Le correctif est arrivé discrètement avec la version 6.19.1 de Ghost, mais de nombreux opérateurs ne l'ont jamais appliqué, laissant la porte grande ouverte à l'exploitation .
Découverte en mai 2026 par les chercheurs en renseignement sur les menaces de l'équipe XLab de Qianxin, la campagne a déjà empoisonné plus de 700 domaines, y compris des sites de grande réputation . Parmi les victimes confirmées figurent des portails appartenant à l'université de Harvard, à l'université d'Oxford, à l'université d'Auburn et au moteur de recherche axé sur la vie privée DuckDuckGo
.
Au moins deux groupes de menace concurrents se livrent une course pour compromettre les mêmes sites vulnérables. Dans certains cas, les chercheurs ont observé une seule instance Ghost injectée avec le code malveillant d'un groupe, puis réinfectée par un rival quelques heures plus tard .
Le code JavaScript injecté est volontairement petit ; il agit comme un chargeur en deux étapes qui va chercher la logique d'attaque réelle sur un serveur externe . Les charges utiles observées en aval incluent :
Étant donné que la chaîne d'attaque implique à la fois des lectures de base de données et une altération de contenu authentifiée, la remédiation doit traiter à la fois la vulnérabilité elle-même et les dommages collatéraux d'une éventuelle compromission.
slug inhabituels, ainsi que des activités de mise à jour en masse sur les articles Les correctifs sont déployés rapidement, mais l'adoption est toujours le véritable goulot d'étranglement. Cette campagne est un rappel cinglant que les vulnérabilités critiques des CMS ne disparaissent pas après leur divulgation — elles deviennent des munitions, et les attaquants cibleront activement les organisations qui n'ont pas reçu le message.