7月22日,网络安全公司c/side确认该攻击仍在持续,与传统加密劫持不同,攻击者通过限制CPU使用率并将流量隐藏于WebSocket流中规避检测。匿名信安研究员透露,攻击者已控制数千个WordPress站点及电商服务器,采用节流WebAssembly挖矿程序配合WebSockets通信,实现长期隐蔽式挖矿。该攻击复用历史漏洞权限定向渗透未修复系统,目前受影响站点数量已超3500个。