Po co szukać podatności na każdej pojedynczej stronie, skoro można po prostu kupić popularną wtyczkę i od razu zainfekować wszystkie strony, które z niej korzystają? Właśnie do takiej sytuacji doszło w ekosystemie WordPressa. Nieznany sprawca wykupił portfolio ponad 30 wtyczek, które miały setki tysięcy instalacji, i po cichu zaszył do każdej z nich backdoora :)

Jak do tego doszło

Wszystko zaczęło się od tego, że jeden z klientów zauważył podejrzane powiadomienie w panelu administracyjnym WordPressa. Zespół bezpieczeństwa WordPressa ostrzegał w nim, że wtyczka Countdown Timer Ultimate zawiera lukę w kodzie, która może umożliwić nieautoryzowany dostęp osobom trzecim. I chociaż sama wtyczka została już przymusowo zaktualizowana przez WP do bezpiecznej wersji, było już za późno, bo malware zdążyło już osadzić się w systemie.

Jak się okazało, zagrożenie ukrywało się bezpośrednio w pliku wp-config.php. Moduł analityczny wtyczki, który na pierwszy rzut oka wyglądał bezpiecznie, niepostrzeżenie łączył się z serwerem sprawcy i pobierał backdoora podszywającego się pod plik systemowy wp-comments-posts.php (oryginalny plik nazywa się wp-comments-post.php), a następnie dopisywał ogromny fragment kodu PHP bezpośrednio do pliku konfiguracyjnego.

Jak twierdzą specjaliści, ten wstrzyknięty kod był wyjątkowo sprytny. Pobierał linki spamowe i fałszywe podstrony, ale pokazywał je wyłącznie botom Google, pozostając całkowicie niewidoczny dla właścicieli stron. Dodatkowo ustalał adres swojego serwera dowodzenia za pośrednictwem smart kontraktów Ethereum, odwołując się do publicznych endpointów RPC. Oznacza to, że zablokowanie domeny klasycznym sposobem było praktycznie niemożliwe, bo sprawcy mogli w dowolnym momencie zaktualizować smart kontrakt i wskazać nową domenę.

8 miesięcy uśpienia

Kiedy badacze zaczęli analizować historię wtyczki na podstawie kopii zapasowych, okazało się, że do wstrzyknięcia złośliwego kodu doszło 6 kwietnia 2026 roku. Sam backdoor został jednak osadzony już 8 miesięcy wcześniej, zanim go aktywowano.

Wcześniej te wtyczki były wydawane przez indyjski zespół deweloperów pod marką Essential Plugin. Kiedy pod koniec 2024 roku ich przychody spadły niemal o połowę, wystawili cały swój biznes na sprzedaż. Pewien nabywca z doświadczeniem w branżach SEO, kryptowalut i hazardu wykupił całe portfolio za solidną sześciocyfrową kwotę. Pierwszą rzeczą, którą zrobił po zakupie, było dodanie backdoora do wtyczek, a całość ukrył pod standardową informacją w changelogu o rzekomym „sprawdzeniu kompatybilności z nową wersją WordPressa”.

Zespół odpowiedzialny za wtyczki WordPressa postanowił działać bez zwłoki i po prostu trwale zablokował wszystkie 31 wtyczek tego autora jednego dnia oraz wymusił automatyczne aktualizacje. Tyle że ta aktualizacja niewiele pomogła, bo jedynie przerywała połączenie z serwerem sprawcy. Sam katalog z malwarem pozostawał na miejscu, a kod w wp-config.php nadal generował spam SEO, więc właściciele muszą albo ręcznie usunąć złośliwy kod z wtyczki i plików konfiguracyjnych, albo po prostu usunąć ją dla świętego spokoju i sprawdzić swoje pliki konfiguracyjne.