Tấn công chuỗi cung ứng WordPress: Kẻ tấn công mua 30 Plugin và cài cửa sau

Tuần trước, tôi đã viết về việc phát hiện một cuộc tấn công chuỗi cung ứng nhắm vào plugin WordPress có tên Widget Logic. Một cái tên uy tín, sau khi được chủ mới mua lại, đã biến thành công cụ độc hại. Và lịch sử lại lặp lại. Lần này với quy mô lớn hơn nhiều.

Tấn công chuỗi cung ứng WordPress

30+ Plugin bị xâm phạm

Một khách hàng đã báo cáo về một thông báo bảo mật mà họ tìm thấy trong wp-admin. Ricky từ Improve & Grow đã gửi email cho chúng tôi về một cảnh báo mà ông thấy trên bảng điều khiển WordPress của trang web khách hàng. Thông báo đến từ Đội ngũ Plugin của WordPress.org, cảnh báo rằng một plugin gọi là Countdown Timer Ultimate chứa mã có thể cho phép bên thứ ba không được ủy quyền truy cập.

Tôi đã chạy một cuộc kiểm toán bảo mật đầy đủ trên trang web. Bản thân plugin đã được WordPress.org cập nhật bắt buộc lên phiên bản 2.6.9.1, phiên bản này được cho là sẽ dọn dẹp mọi thứ. Nhưng thiệt hại đã rồi.

Malware ẩn nấp trong wp-config.php

Mô-đun wpos-analytics của plugin đã kết nối về máy chủ chủ (analytics.essentialplugin.com), tải xuống một tệp cửa sau có tên wp-comments-posts.php (được thiết kế để giống tệp lõi wp-comments-post.php), và sử dụng nó để tiêm một khối mã PHP khổng lồ vào wp-config.php.

Mã được tiêm rất tinh vi. Nó lấy các liên kết spam, chuyển hướng và trang giả từ một máy chủ chỉ huy và điều khiển (C2). Nó chỉ hiển thị spam cho Googlebot, khiến nó vô hình với chủ sở hữu trang web. Và đây là phần điên rồ nhất. Nó giải quyết tên miền C2 của mình thông qua một hợp đồng thông minh Ethereum, truy vấn các điểm cuối RPC blockchain công khai. Các phương pháp gỡ bỏ tên miền truyền thống sẽ không hoạt động vì kẻ tấn công có thể cập nhật hợp đồng thông minh để trỏ đến một tên miền mới bất cứ lúc nào.

Cập nhật bắt buộc không dọn dẹp wp-config.php

Bản cập nhật v2.6.9.1 của WordPress.org đã vô hiệu hóa cơ chế kết nối về máy chủ trong plugin. Nhưng nó không chạm vào wp-config.php. Việc tiêm SEO spam vẫn đang tích cực phục vụ nội dung ẩn cho Googlebot.

Tôi đã sử dụng pháp y sao lưu để xác định chính xác cửa sổ tiêm. CaptainCore giữ các bản sao lưu restic hàng ngày. Tôi trích xuất wp-config.php từ 8 ngày sao lưu khác nhau và so sánh kích thước tệp.

Quá trình tiêm xảy ra vào ngày 6 tháng 4 năm 2026, giữa 04:22 và 11:06 UTC. Một cửa sổ 6 giờ 44 phút.

Cửa sau được cài đặt 8 tháng trước khi kích hoạt

Tôi đã theo dõi lịch sử của plugin thông qua 939 bản lưu nhanh. Plugin đã có trên trang web kể từ tháng 1 năm 2019. Mô-đun wpos-analytics luôn ở đó, hoạt động như một hệ thống phân tích tùy chọn hợp pháp trong nhiều năm.

Sau đó đến phiên bản 2.6.7, được phát hành vào ngày 8 tháng 8 năm 2025. Nhật ký thay đổi ghi: "Kiểm tra tính tương thích với phiên bản WordPress 6.8.2". Những gì nó thực sự làm là thêm 191 dòng mã, bao gồm một cửa sau giải mã hóa PHP. Tệp class-anylc-admin.php tăng từ 473 lên 664 dòng.

Mã mới giới thiệu ba thứ:

• Một phương thức fetch_ver_info() gọi file_get_contents() trên máy chủ của kẻ tấn công và chuyển phản hồi cho @unserialize()
• Một phương thức version_info_clean() thực thi @$clean($this->version_cache, $this->changelog) trong đó cả ba giá trị đều đến từ dữ liệu từ xa đã được giải mã hóa
• Một điểm cuối API REST không được xác thực với permission_callback: __return_true

Đó là một cuộc gọi hàm tùy ý điển hình. Máy chủ từ xa kiểm soát tên hàm, các đối số, mọi thứ. Nó nằm im lìm trong 8 tháng trước khi được kích hoạt vào ngày 5-6 tháng 4 năm 2026.

Plugin được bán trên Flippa

Đây là nơi mọi thứ trở nên thú vị. Plugin ban đầu được xây dựng bởi Minesh Shah, Anoop Ranawat và Pratik Jain. Một nhóm có trụ sở tại Ấn Độ hoạt động dưới tên "WP Online Support" bắt đầu từ khoảng năm 2015. Họ sau đó đổi thương hiệu thành "Essential Plugin" và phát triển danh mục lên hơn 30 plugin miễn phí với các phiên bản cao cấp.

Đến cuối năm 2024, doanh thu đã giảm 35-45%. Minesh đã liệt kê toàn bộ doanh nghiệp trên Flippa. Một người mua chỉ được xác định là "Kris", với nền tảng về SEO, tiền điện tử và tiếp thị cờ bạc trực tuyến, đã mua mọi thứ với giá sáu con số. Flippa thậm chí đã xuất bản một nghiên cứu tình huống về việc bán này vào tháng 7 năm 2025.

Lịch sử thời gian cho thấy sự chuyển giao quyền sở hữu này dẫn đến thảm họa:

• Đầu năm 2025: Người mua 'Kris' mua lại Essential Plugin với giá sáu con số qua Flippa.
• Ngày 12 tháng 5 năm 2025: Tài khoản essentialplugin WordPress.org mới được tạo.
• Ngày 8 tháng 8 năm 2025: Lần commit đầu tiên bởi tài khoản essentialplugin. Phiên bản 2.6.7 cài cửa sau unserialize() RCE. Nhật ký thay đổi nói dối: 'Kiểm tra tính tương thích với phiên bản WordPress 6.8.2'.
• Ngày 5-6 tháng 4 năm 2026: Cửa sau được vũ khí hóa. analytics.essentialplugin.com bắt đầu phân phối tải độc hại cho tất cả các trang web chạy các plugin này.

WordPress.org đóng cửa 30+ plugin trong một ngày

Vào ngày 7 tháng 4 năm 2026, Đội ngũ Plugin của WordPress.org đã đóng cửa vĩnh viễn mọi plugin từ tác giả Essential Plugin. Ít nhất 30 plugin, tất cả trong cùng một ngày.

Tất cả đều bị đóng cửa vĩnh viễn. Tìm kiếm tác giả trên WordPress.org không trả về kết quả nào. Điểm cuối analytics.essentialplugin.com giờ đây trả về {"message":"closed"}.

Vấn đề niềm tin trong thị trường plugin WordPress

Hai cuộc tấn công chuỗi cung ứng trong hai tuần. Cả hai đều tuân theo cùng một mô hình. Mua một plugin uy tín với cơ sở cài đặt đã được thiết lập, kế thừa quyền truy cập commit WordPress.org và tiêm mã độc. Danh sách Flippa cho Essential Plugin là công khai. Tiền sử của người mua về SEO và tiếp thị cờ bạc là công khai. Và yet, thương vụ mua lại đã trôi qua mà không có bất kỳ sự xem xét nào từ WordPress.org.

WordPress.org không có cơ chế để gắn cờ hoặc xem xét các chuyển nhượng quyền sở hữu plugin. Không có thông báo "thay đổi quyền kiểm soát" cho người dùng. Không có xem xét mã bổ sung nào được kích hoạt bởi người commit mới. Đội ngũ Plugin đã phản ứng nhanh chóng sau khi cuộc tấn công được phát hiện. Nhưng 8 tháng đã trôi qua giữa việc cửa sau được cài đặt và bị bắt.

Nếu bạn quản lý các trang web WordPress, hãy tìm kiếm trong danh sách của bạn bất kỳ slug plugin nào được liệt kê ở trên. Nếu bạn tìm thấy một cái, hãy vá nó hoặc xóa nó. Và kiểm tra wp-config.php.