EssentialPluginパッケージに含まれる30以上のWordPressプラグインが悪意のあるコードで侵害され、それらを実行しているウェブサイトへの無許可アクセスが可能になっています。
悪意のある行為者は昨年バックドアコードを仕掛けましたが、最近になってアップデート経由でユーザーへの配信を開始し、コマンド・アンド・コントロール(C2)サーバーから受け取った指示に従ってスパムページを生成しリダイレクトを引き起こしています。
この侵害は数十万のアクティブなインストール数を持つプラグインに影響を与えており、マネージドWordPressホスティングプロバイダーAnchor Hostingの創設者Austin Ginderが、第三者によるアクセスを可能にするコードを含むアドオンについてのタレコミを受けた後に発見されました。
Ginderによる詳細な調査により、2025年8月以降、プロジェクトが新しい所有者によって6桁の金額で買収された後、EssentialPluginパッケージ内のすべてのプラグインにバックドアが存在していたことが明らかになりました。
EssentialPluginは、2015年にWP Online Supportとして設立され2021年にリブランドされた、スライダー、ギャラリー、マーケティングツール、WooCommerce拡張機能、SEO/分析ユーティリティ、およびテーマを提供するWordPress開発企業です。
Ginderによると、バックドアは最近アクティベートされるまで非アクティブでしたが、その後、外部インフラストラクチャに静かに接続してマルウェアを「wp-config.php」に注入するファイル(「wp-comments-posts.php」)を取得しました。
ダウンロードされたマルウェアはサイト所有者には見えず、回避のためにEthereumベースのC2アドレス解決を使用しています。受け取った指示に応じて、マルウェアは「スパムリンク、リダイレクト、および偽のページ」を取得することができます。
「注入されたコードは高度なものでした。コマンド・アンド・コントロールサーバーからスパムリンク、リダイレクト、および偽のページを取得しました。スパムはGooglebotにのみ表示され、サイト所有者には見えなくなっていました。」とGinderは説明しています。
WordPressセキュリティプラットフォームPatchStackの分析によると、バックドアは「analytics.essentialplugin.com」エンドポイントが悪意のあるシリアル化されたコンテンツで返された場合のみ機能しました。
WordPressのアクションと感染状況
WordPress.orgは悪意のあるアクティビティの報告に素早く対応し、プラグインを閉鎖してサイトに強制アップデートをプッシュし、バックドアの通信を中和し、その実行パスを無効にしました。
しかし、開発者はこのアクションがwp-configコア設定ファイルをクリーンアップしなかったと警告しました。このファイルはウェブサイトをそのデータベースに接続し、重要な設定を含んでいます。
WordPress.org Pluginsチームは、EssentialPluginプロダクトを実行しているウェブサイトの管理者に対しても、バックドアの既知の場所の1つが正当なwp-comments-post.phpに似たwp-comments-posts.phpという名前のファイルであるかもしれませんが、マルウェアは他のファイルにも隠れている可能性があると注意しました。
BleepingComputerは買収後に発生した報告されたマルウェアのコミットについてのコメントのためEssentialPluginsに連絡しましたが、発行時点では応答を受け取っていません。
