- 悪意のある行為者が Essential Plugin から 31 個の WordPress プラグインを購入
- 更新プログラムはバックドアを注入し、サイトへの完全なアクセスを許可
- スパムキャンペーンは所有者から隠され、C2 は Ethereum スマートコントラクト経由で解決
ハッカーが 30 以上の正当な WordPress プラグインを購入し、その良好な信頼性を悪用して数万のウェブサイトをバックドアで感染させました。
Anchor Hosting の創設者である Austin Ginder は、クライアントが最近、既知のプラグインが突然不正な第三者アクセスを許可していることを彼に警告したと報告しました。調査により彼は、やや厄介な発見に至りました。31 個の WordPress プラグイン(無料版とプレミアム版の両方)を開発した企業が、2025 年初頭に「Kris」と名乗る人物に売却されていたのです。
その人物はその後、すべてのプラグインに悪意のあるコードを追加し、それらを積極的に使用している WordPress ウェブサイトに更新プログラムをプッシュしました。
記事を続ける
高度なコードの注入
悪意のある企業は Essential Plugin と呼ばれており、その製品は 400,000 回以上インストールされ、15,000 人以上の顧客によって積極的に使用されていたと主張しています。公式 WordPress リポジトリは 20,000 を超えるアクティブな WordPress インストールを示しています。
マルウェアは本質的には、攻撃者にウェブサイトへの完全なアクセスを許可するバックドアでした。目標は既存のスパムキャンペーンを伝播させることであったようです。
「注入されたコードは高度でした」と Ginder は説明しました。「コマンド&コントロールサーバからスパムリンク、リダイレクト、偽のページを取得しました。スパムは Google ボットにのみ表示され、サイト所有者には見えませんでした。そして、ここが最も驚くべき部分です。Ethereum スマートコントラクト経由で C2 ドメインを解決し、公開ブロックチェーン RPC エンドポイントをクエリしました。攻撃者はいつでもスマートコントラクトを更新して新しいドメインをポイントできるため、従来のドメインテイクダウンは機能しません。」
侵害されたプラグインの完全なリストはこのリンクで見つけることができます。これらのいずれかを使用している場合、より安全な代替品に置き換えることは賢明です。Ginder はまた、彼のブログで修正方法を共有しました。
その間、WordPress はリポジトリからすべての悪意のあるプラグインを削除しました。
そしてもちろん、TikTok で TechRadar をフォローして、ビデオ形式でニュース、レビュー、アンボックシングを取得し、WhatsAppでも定期的にアップデートを受け取ることができます。
