Essential Pluginポートフォリオの信頼されたWordPressプラグインが、遅延マルウェアキャンペーンで静かに悪用されました。このキャンペーンは、長年のユーザー信頼、ブロックチェーンインフラストラクチャ、およびWordPressサプライチェーンを悪用して、大規模なステルスSEOスパムおよびバックドアアクセスを配信しました。
このインシデントは、Flippaでの6桁のプラグイン買収がどのようにして取引終了から数ヶ月後に侵害プラットフォームに変わったかを示しています。
最初の警告は、サイト所有者がWordPressダッシュボードでCountdown Timer Ultimateプラグインのアラートに気付いたときに浮上しました。WordPress.orgプラグインチームは、不正なサードパーティアクセスを可能にするコードが含まれているとしてフラグを付けていました。
サイトが監査されるまでに、WordPress.orgはすでにプラグインをバージョン2.6.9.1に強制アップデートしており、既知の「ホームへの電話」動作をオフにしていました。ただし、そのサイトの感染はすでにwp-config.phpに根付いていました。
詳細なコード履歴レビューでは、Countdown Timer Ultimateプラグインが2019年1月からサイトに存在していたこと、およびwpos-analyticsモジュールが長年にわたって正当なオプション分析コンポーネントとして機能していたことが示されました。
ターニングポイントはバージョン2.6.7で、2025年8月8日にリリースされました。変更ログは単に「WordPress 6.8.2との互換性をチェック」したと主張していましたが、アップデートは実際には約191行の新しいコードを導入しました。これにはclass-anylc-admin.phpのPHPデシリアライゼーションバックドアが含まれていました。
新しいコードはfetch_ver_info()メソッドを追加しました。これはfile_get_contents()でリモートデータを取得します。
それを直接@unserialize()に渡し、その後version_info_clean()メソッドが@$clean($this->version_cache, $this->changelog)を実行しました。すべてのパラメータと関数名はリモート応答によって制御されていました。
permission_callbackが__return_trueに設定された認証されていないREST APIエンドポイントがチェーンを完成させました。これは教科書的な任意関数呼び出しプリミティブを作成し、攻撃者が有効化することを決めたら、認証なしでリモートコード実行を与えました。
重要なことに、このバックドアは2025年8月から約8ヶ月間休止状態にあり、2026年4月5日~6日頃に活性化されました。その時、analytics.essentialplugin.comがインストール済みサイトに悪意のあるペイロード配布を開始しました。
長い遅延により疑いが最小化され、悪意のあるバージョンが通常のアップデートチャネルを通じて広く普及することが可能になりました。
現在のところ、WordPress.orgには所有権移転にフラグを付けたり確認したりするための構造化されたプロセスがなく、サイト所有者への「支配の変更」通知がなく、コミット権が新しいエンティティに移動したときに自動的な詳細なコードレビューがありません。
2017年のDisplay Widgetsテイクオーバー(獲得されたプラグインがペイデイローンスパムを注入するために使用された事例)など、以前のケースと組み合わせると、Essential Pluginキャンペーンは、公開マーケットプレイスと不透明な売上後の監視がどのように大規模な遅延アクティベーションサプライチェーン攻撃の肥沃な地盤を作成し、数十万のサイトを標的とするかを示しています。
翻訳元: https://cyberpress.org/trusted-plugins-spread-malware/