WordPress 插件套件遭入侵,恶意软件被推送至数千网站
- 浏览次数 22
- 喜欢 0
HackerNews 编译,转载请注明出处:
“EssentialPlugin” 套件中的 30 多个 WordPress 插件被植入恶意代码,使得运行这些插件的网站面临未经授权的访问风险。
一名恶意行为者于去年植入后门代码,但直到近期才开始通过更新将其推送给用户。根据从命令与控制(C2)服务器接收的指令,这些代码会生成垃圾页面并导致页面重定向。
此次入侵影响了数十万个正在使用的插件,托管 WordPress 主机提供商 Anchor Hosting 的创始人奥斯汀・金德(Austin Ginder)在收到关于一个插件包含可让第三方访问代码的提示后,发现了这一情况。
金德进一步调查发现,自 2025 年 8 月该项目以六位数交易被新所有者收购后,EssentialPlugin 套件内所有插件就一直存在后门。
EssentialPlugin 于 2015 年以 WP Online Support 的名称成立,并于 2021 年重新品牌化,是一家 WordPress 开发公司,提供滑块、图库、营销工具、WooCommerce 扩展、SEO / 分析工具以及主题等。
金德表示,该后门此前一直处于未激活状态,直到最近被激活,并悄然连接外部基础设施,获取一个名为 “wp - comments - posts.php” 的文件,该文件会将恶意软件注入 “wp - config.php”。
网站所有者无法察觉下载的恶意软件,该软件使用基于以太坊的 C2 地址解析来逃避检测。根据接收到的指令,恶意软件能够获取 “垃圾链接、重定向和虚假页面”。
金德解释称:“注入的代码很复杂。它从命令与控制服务器获取垃圾链接、重定向和虚假页面。它只向谷歌机器人展示这些垃圾内容,因此网站所有者看不到。”
WordPress 安全平台 PatchStack 的分析显示,只有当 “analytics.essentialplugin.com” 端点返回恶意序列化内容时,后门才会起作用。
WordPress.org在收到恶意活动报告后迅速做出回应,关闭了相关插件,并向网站强制推送更新,以阻断后门通信并禁用其执行路径。
然而,开发者警告称,这一操作并未清理 “wp - config” 核心配置文件,该文件用于将网站连接到数据库并包含重要设置。
WordPress.org插件团队还提醒运行 EssentialPlugin 产品的网站管理员,虽然已知的后门存在位置之一是名为 “wp - comments - posts.php” 的文件(该文件与合法的 wp - comments - post.php 相似),但恶意软件也可能隐藏在其他文件中。
BleepingComputer 已联系 EssentialPlugins,就收购后发生的恶意提交事件征求评论,但截至发稿时尚未收到回复。
消息来源:bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文