通過龐大的供應鏈攻擊,黑客成功利用後門破壞了 93 個 WordPress 主題和插件,使其能夠完全訪問網站。黑客總共破壞了屬於 AccessPress 的 40 個主題和 53 個插件,AccessPress 是一家 WordPress 插件開發商,在超過 36 萬個活躍網站中使用。
Jetpack 的研究人員率先發現了這次攻擊,該公司是 WordPress 網站安全和優化工具的創建者,他們發現主題和插件中被添加了一個 PHP 後門。Jetpack 認為,一個外部威脅者攻破了 AccessPress 網站,破壞了該軟件並感染了更多的 WordPress 網站。
一旦管理員在他們的網站上安裝了被入侵的 AccessPress 產品,行為者就會在主主題目錄中添加一個新的“initial.php”文件,並將其納入主“function.php”文件。這個文件包含一個 base64 編碼的有效載荷,將 webshell 寫入“./wp-includes/vars.php”文件中。
惡意代碼通過解碼有效載荷並將其注入“vars.php”文件來完成後門的安裝,本質上是讓威脅者對受感染網站進行遠程控制。檢測這種威脅的唯一方法是使用核心文件完整性監控解決方案,因為惡意軟件會刪除“initial.php”文件的投放器以掩蓋其蹤跡。