Złośliwy sprawca wykupił 30 popularnych wtyczek WordPressa i zaszył w każdej z nich backdoora

Złośliwy sprawca wykupił 30 popularnych wtyczek WordPressa i zaszył w każdej z nich backdoora

Po co szukać podatności na każdej pojedynczej stronie, skoro można po prostu kupić popularną wtyczkę i od razu zainfekować wszystkie strony, które z niej korzystają? Właśnie do takiej sytuacji doszło w ekosystemie WordPressa. Nieznany sprawca wykupił portfolio ponad 30 wtyczek, które miały setki tysięcy instalacji, i po cichu zaszył do każdej z nich backdoora :)

Jak do tego doszło

Wszystko zaczęło się od tego, że jeden z klientów zauważył podejrzane powiadomienie w panelu administracyjnym WordPressa. Zespół bezpieczeństwa WordPressa ostrzegał w nim, że wtyczka Countdown Timer Ultimate zawiera lukę w kodzie, która może umożliwić nieautoryzowany dostęp osobom trzecim. I chociaż sama wtyczka została już przymusowo zaktualizowana przez WP do bezpiecznej wersji, było już za późno, bo malware zdążyło już osadzić się w systemie.

Jak się okazało, zagrożenie ukrywało się bezpośrednio w pliku wp-config.php. Moduł analityczny wtyczki, który na pierwszy rzut oka wyglądał bezpiecznie, niepostrzeżenie łączył się z serwerem sprawcy i pobierał backdoora podszywającego się pod plik systemowy wp-comments-posts.php (oryginalny plik nazywa się wp-comments-post.php), a następnie dopisywał ogromny fragment kodu PHP bezpośrednio do pliku konfiguracyjnego.

Jak twierdzą specjaliści, ten wstrzyknięty kod był wyjątkowo sprytny. Pobierał linki spamowe i fałszywe podstrony, ale pokazywał je wyłącznie botom Google, pozostając całkowicie niewidoczny dla właścicieli stron. Dodatkowo ustalał adres swojego serwera dowodzenia za pośrednictwem smart kontraktów Ethereum, odwołując się do publicznych endpointów RPC. Oznacza to, że zablokowanie domeny klasycznym sposobem było praktycznie niemożliwe, bo sprawcy mogli w dowolnym momencie zaktualizować smart kontrakt i wskazać nową domenę.

8 miesięcy uśpienia

Kiedy badacze zaczęli analizować historię wtyczki na podstawie kopii zapasowych, okazało się, że do wstrzyknięcia złośliwego kodu doszło 6 kwietnia 2026 roku. Sam backdoor został jednak osadzony już 8 miesięcy wcześniej, zanim go aktywowano.

https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/
https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/

Wcześniej te wtyczki były wydawane przez indyjski zespół deweloperów pod marką Essential Plugin. Kiedy pod koniec 2024 roku ich przychody spadły niemal o połowę, wystawili cały swój biznes na sprzedaż. Pewien nabywca z doświadczeniem w branżach SEO, kryptowalut i hazardu wykupił całe portfolio za solidną sześciocyfrową kwotę. Pierwszą rzeczą, którą zrobił po zakupie, było dodanie backdoora do wtyczek, a całość ukrył pod standardową informacją w changelogu o rzekomym „sprawdzeniu kompatybilności z nową wersją WordPressa”.

Zespół odpowiedzialny za wtyczki WordPressa postanowił działać bez zwłoki i po prostu trwale zablokował wszystkie 31 wtyczek tego autora jednego dnia oraz wymusił automatyczne aktualizacje. Tyle że ta aktualizacja niewiele pomogła, bo jedynie przerywała połączenie z serwerem sprawcy. Sam katalog z malwarem pozostawał na miejscu, a kod w wp-config.php nadal generował spam SEO, więc właściciele muszą albo ręcznie usunąć złośliwy kod z wtyczki i plików konfiguracyjnych, albo po prostu usunąć ją dla świętego spokoju i sprawdzić swoje pliki konfiguracyjne.

Avatar
Cze 20, 2025

Google szkoli swoje modele AI na filmach z YouTube – bez zgody twórców

Google wykorzystuje część biblioteki YouTube do trenowania modeli generatywnych, takich jak Gemini i Veo 3 – nowy generator treści wideo i audio oparty na AI. Firma potwierdziła, że korzysta z wybranych materiałów z platformy, jednak według ekspertów większość twórców nie miała świadomości, że ich treści są przetwarzane w tym celu
0
Maj 8, 2025

82% liderów uważa rok 2025 za przełomowy dla integracji AI w biznesie. Najważniejsze wnioski z raportu Microsoft

Microsoft wspólnie z LinkedIn opublikował coroczny raport Work Trend Index 2025, w którym opisano, jak sztuczna inteligencja przekształca współczesny rynek pracy. Kluczowym trendem jest pojawienie się tzw. Frontier Firms — firm, w których część zadań realizują nie ludzie, a agenci AI działający jako cyfrowi współpracownicy.
0
Maj 26, 2025

Oracle zamierza zainwestować około 40 miliardów dolarów w chipy Nvidii

Zgodnie z informacjami podanymi przez The Financial Times, Oracle zamierza zainwestować około 40 miliardów dolarów w chipy Nvidii, które będą zasilać nowe centrum danych OpenAI w Teksasie. To część dynamicznego wyścigu infrastrukturalnego między gigantami technologicznymi, którzy budują zaplecze dla kolejnej generacji systemów AI.
0

Ta strona używa plików cookie, aby zapewnić Ci lepsze wrażenia podczas przeglądania.

Dowiedz się więcej o tym, jak używamy plików cookie i jak zmienić preferencje dotyczące plików cookie w naszej Polityka plików cookie.

Zmień ustawienia
Zapisz Akceptuj wszystkie cookies