После расшифровки сайт получал адрес внешнего сервера и загружал оттуда JavaScript под видом обычных библиотек.Anti-Malware.ru
Для маскировки использовались названия вроде asahi-jquery-min-bundle или lodash.core.min.js, чтобы не вызывать подозрений у администраторов.Anti-Malware.ru
Среди возможных вариантов называются украденные учётные данные администраторов, компрометация доступа по FTP / SFTP, уязвимости в темах и плагинах WordPress или атаки через цепочки поставок.Anti-Malware.ru
Вредоносный код использовал обфускацию, случайные имена функций, стандартные API WordPress и даже фальшивые механизмы логирования.Anti-Malware.ru