소유권 변경 후 악성코드가 된 30개의 WordPress 플러그인

Source: Slashdot

Overview

30개가 넘는 WordPress 플러그인이 악성 코드를 삽입당해 해당 플러그인을 사용하는 사이트에 무단 접근이 가능해졌습니다. 백도어는 작년부터 심어졌으며, 최근에 업데이트를 통해 사용자에게 배포되기 시작했으며, 스팸 페이지를 생성하고 명령‑제어(C2) 서버의 지시에 따라 리다이렉션을 수행했습니다.

Compromise Details

• 이번 침해는 수십만 개의 활성 설치를 보유한 플러그인에 영향을 미칩니다.
• 최초로 이를 발견한 사람은 관리형 WordPress 호스팅 제공업체 Anchor Hosting의 설립자 Austin Ginder이며, 제3자 접근을 허용하는 코드를 포함한 애드온에 대한 제보를 받고 확인했습니다.
• Ginder의 조사 결과, EssentialPlugin 패키지에 포함된 모든 플러그인에 2025년 8월부터 백도어가 존재했으며, 이는 프로젝트가 새로운 소유자에게 수십만 달러 규모로 인수된 이후부터였습니다.

“삽입된 코드는 매우 정교했습니다. 명령‑제어 서버에서 스팸 링크, 리다이렉션, 가짜 페이지를 가져와서 Googlebot에게만 보여주었고, 사이트 소유자에게는 보이지 않게 했습니다.” – Austin Ginder

• WordPress.org의 v2.6.9.1 업데이트는 플러그인 내 전화‑홈 메커니즘을 무력화했지만 wp-config.php는 수정되지 않았습니다. SEO 스팸 삽입은 여전히 Googlebot에 숨은 콘텐츠를 제공하고 있었습니다.
• C2 도메인은 이더리움 스마트 계약을 통해 해결되었으며, 공개 블록체인 RPC 엔드포인트를 조회했습니다. 이 기법은 공격자가 언제든지 계약을 업데이트해 새로운 도메인을 가리키게 할 수 있기 때문에 전통적인 도메인 차단을 우회합니다.

History of Similar Incidents

• 2017년, 별명 **“Daley Tias”**를 사용한 구매자가 Display Widgets 플러그인(≈20만 설치)을 15,000달러에 인수하고 급여 대출 스팸을 삽입했습니다.
• 해당 구매자는 이후 동일한 방법으로 최소 9개 이상의 플러그인을 추가로 침해했습니다.

이러한 사례들은 WordPress 플러그인 마켓플레이스 전반에 걸친 신뢰 문제를 보여줍니다.

WordPress.org Policies and Response

• WordPress.org에는 플러그인 소유권 이전을 표시하거나 검토할 메커니즘이 없습니다.
• 사용자에게 “소유권 변경” 알림이 없으며, 새로운 커미터가 등장해도 추가 코드 검토가 트리거되지 않습니다.
• 플러그인 팀은 공격이 발견된 직후 신속히 대응했지만, 백도어가 심어진 시점부터 탐지될 때까지 8개월이 걸렸습니다.

Sources

• Slashdot: 30 WordPress Plugins Turned Into Malware After Ownership Change (credit to Slashdot reader axettone)