해커, 에베레스트 폼즈 프로 워드프레스 플러그인 치명적 취약점 악용해 사이트 장악
출처: The Hacker News
위협 행위자들이 약 4,000개의 활성 설치를 보유한 워드프레스 플러그인 Everest Forms Pro의 심각한 보안 결함을 적극적으로 악용하고 있어 임의 코드를 실행시켜 사이트 전체를 장악하고 있습니다.
문제의 취약점은 CVE‑2026‑3300 (CVSS 점수: 9.8)이며, 1.9.12 버전까지(포함) 모든 버전에 영향을 주는 원격 코드 실행 버그입니다. 해당 결함에 대한 패치는 2026년 3월 18일에 1.9.13 버전으로 배포되었습니다.
“이는 Calculation Addon의
process_filter()함수가 사용자 입력 폼 필드 값을 적절히 이스케이프하지 않은 채 PHP 코드 문자열에 연결하고eval()에 넘겨주기 때문입니다.”라고 Wordfence는 언급했습니다.
“입력에 적용된
sanitize_text_field()함수는 작은 따옴표나 기타 PHP 코드 컨텍스트 문자를 이스케이프하지 않습니다. 따라서 인증되지 않은 공격자가 ‘복합 계산(Complex Calculation)’ 기능을 사용하는 폼에서 문자열형 필드(텍스트, 이메일, URL, 선택, 라디오) 중 하나에 조작된 값을 제출하면 임의 PHP 코드를 서버에 삽입·실행할 수 있습니다.”
이 취약점을 성공적으로 이용하면 인증되지 않은 악의적인 행위자가 서버에서 임의 PHP 코드를 실행할 수 있게 되며, 이를 통해 악성 관리자 계정을 만들고, 웹 쉘을 배포하며, 서버에 더 깊이 침투해 지속적인 foothold를 확보할 수 있습니다.
워드프레스 보안 업체에 따르면, 공격자들은 2026년 4월 13일부터 이 결함을 악용해 왔으며 현재까지 29,300건 이상의 탐지 시도가 차단되었습니다. 그 중 **지난 24시간 동안 16건**이 확인되었습니다. 가장 흔한 페이로드는 침해된 사이트에 “diksimarina”(이메일: diksimarina@gmail.com)라는 이름의 관리자 계정을 만들려는 시도입니다.
다음 IP 주소에서 이러한 공격이 발생했습니다.
- 202.56.2.126
- 209.146.60.26
- 15.235.166.18
- 2402:1f00:8000:800::40db
- 185.78.165.153
스키머 공격, Stripe를 C2로 악용
이번 공개는 Sansec이 Stripe를 명령·제어(C2) 서버 및 데이터 탈취 싱크로 활용하는 다수의 스키머 캠페인을 경고한 시점과 맞물립니다. Sansec은 다음과 같이 언급했습니다.
“공격자는 Stripe를 비용이 들지 않는 인프라로 여기며, 결제 세탁 수단으로 보지 않습니다. Stripe는 도난당한 카드 정보를 저장할 수 있는 쓰기 가능한 데이터베이스와 스키머 코드를 호스팅할 수 있는 엔드포인트를 제공하며, 두 서비스 모두 CSP 규칙과 네트워크 필터가 기본적으로 신뢰하는 도메인 뒤에 있습니다.”
이 캠페인은 Google Tag Manager(GTM)와 Stripe 도메인(googletagmanager.com, api.stripe.com)을 이용합니다. 두 도메인은 온라인 상점에서 암묵적으로 신뢰되며, 악성 코드는 GTM 컨테이너에서 로드되어 해당 컨테이너가 포함된 모든 페이지에서 실행됩니다.
Magento와 Adobe Commerce 결제 페이지에서는 Stripe 고객 계정(예: “cus_TfFjAAZQNOYENR”)의 메타데이터 필드에 저장된 난독화된 스키머를 추출하고, 사용자가 입력한 금융 정보·청구·이메일·전화번호를 localStorage에 저장합니다. 이후 수집된 데이터는 공격자의 Stripe 계정으로 다시 탈취됩니다.
“도난당한 모든 카드는 공격자 계정의 ‘고객’이 됩니다. 성공 시 로더는 localStorage 항목을 삭제해 동일 기록이 두 번 전송되지 않도록 합니다. 이후 공격자는 동일 키로 같은 API를 호출해 도난된 카드를 열람합니다. Stripe의 고객 데이터베이스는 무료이면서도 내구성 있는 탈취 싱크가 됩니다.”
해당 스키머가 포함된 Stripe 고객 레코드는 2025년 12월 24일에 생성된 것으로 확인돼