随着一套热门插件系列的昂贵收购案浮出水面,一场大规模的供应链攻击已波及 30 多个 WordPress 插件。该漏洞于 2026 年 4 月被发现,揭示了一场精心策划的行动:攻击者在激活恶意代码前数月,便已在受信任的软件中植入了后门。
CaptainCore 的安全研究人员是在收到客户关于 WordPress 控制面板安全通知的报告后,才发现这一漏洞的。WordPress.org 插件团队发布的该通知警告称,“Countdown Timer Ultimate”插件包含允许第三方未经授权访问的代码。
调查显示,攻击者利用 PHP 反序列化技术实现了远程代码执行。恶意代码随插件 2.6.7 版本于 2025 年 8 月 8 日发布。该后门在软件中潜伏了约八个月,随后才被正式启用并转化为攻击工具。
基于区块链的命令与控制机制
此次攻击采用了复杂的命令与控制(C2)机制,旨在规避传统的安全防御手段。该插件的分析模块会向远程服务器“回传信号”(phone home),下载一个伪装成合法 WordPress 核心文件的后门文件。
恶意软件激活后,会将代码注入到 `wp-config.php` 文件中。这段注入的代码会专门针对 Googlebot 抓取垃圾链接并进行重定向,从而使恶意活动对网站管理员来说“隐形”。为了防止域名被封禁,攻击者通过以太坊智能合约解析 C2 域名,通过查询公共区块链端点来实现。
安全审计结果显示:“传统的域名封禁手段将难以奏效,因为攻击者可以随时更新智能合约,将其指向新的域名。”
此次入侵事件源于“Essential Plugin”系列在 Flippa 交易平台上的出售。原开发者团队 WP Online Support 在 2024 年底因收入下降而挂牌出售该业务。2025 年初,一名身份不明、被称为“Kris”的买家以六位数的高价购入了这套包含 30 个插件的组合。
收购完成后,插件的作者信息被篡改,恶意更新通过新的“essentialplugin”账号发布。尽管 WordPress.org 此后已通过强制更新受影响的插件来中和“回传信号”机制,但研究人员发现,部分系统中的 `wp-config.php` 初始注入代码仍然处于活跃状态。
