30 WordPress 插件在所有权变更后变成恶意软件

Source: Slashdot

概览

超过 30 个 WordPress 插件被植入恶意代码，允许未授权访问使用这些插件的站点。后门于去年植入，最近才通过更新推送给用户，生成垃圾页面并按照指挥‑控制 (C2) 服务器的指示进行重定向。

被攻击细节

• 此次攻击影响了拥有数十万活跃安装的插件。
• 首次被发现是由托管 WordPress 主机提供商 Anchor Hosting 的创始人 Austin Ginder 在收到有关某插件包含可让第三方访问的代码的提示后。
• Ginder 的调查显示，自 2025 年 8 月 起，EssentialPlugin 套件中的所有插件就已经存在后门，当时该项目以六位数的价格被新所有者收购。

“注入的代码非常复杂。它从指挥‑控制服务器获取垃圾链接、重定向和伪造页面。它只向 Googlebot 显示垃圾内容，使站点所有者看不到，” – Austin Ginder

• WordPress.org 的 v2.6.9.1 更新中和了插件的回报机制，但 未 修改 wp-config.php。SEO 垃圾注入仍继续向 Googlebot 提供隐藏内容。
• C2 域名通过 以太坊智能合约 解析，查询公共区块链 RPC 端点。这种技术规避了传统的域名封禁，因为攻击者可以随时更新合约指向新的域名。

类似事件的历史

• 2017 年，一位化名 “Daley Tias” 的买家以 15,000 美元 收购了 Display Widgets 插件（约 20 万次安装），并注入了发薪日贷款垃圾信息。
• 同一买家随后又利用相同方法入侵了至少 九 个其他插件。

这些事件凸显了 WordPress 插件市场中更广泛的信任问题。

WordPress.org 政策与响应

• WordPress.org 没有机制 对插件所有权转让进行标记或审查。
• 对用户没有“控制权变更”通知，也没有因新提交者而触发的额外代码审查。
• 插件团队在发现攻击后迅速作出响应，但从后门植入到被检测之间已经过去 八个月。

来源

• Slashdot: 30 WordPress Plugins Turned Into Malware After Ownership Change (credit to Slashdot reader axettone)