30개 이상의 워드프레스 플러그인에 숨겨진 백도어: PHP 역직렬화와 이더리움 계약 내 C2
해커는 플립파 마켓을 통해 30개 이상의 인기 워드프레스 플러그인을 확보하고, PHP 역직렬화 기법을 활용해 은밀한 백도어를 삽입한 후, 8개월 뒤에 이를 활성화해 검색 엔진 최적화(SEO) 스팸을 확산시켰다. 명령 및 제어(C2) 서버는 이더리움 스마트 계약 내에 숨겨져 있어 일반적인 도메인 차단 조치로는 무력화되지 않는다. 핵심 플러그인(구 WP Online Support)의 컴플라이언스 플러그인은 2026년 4월 7일 워드프레스.org에서 삭제되었다.
백도어가 삽입된 방식
새 주인이 2025년 8월 첫 번째 SVN 커밋에서 백도어를 추가했다. class-anylc-admin.php 파일에 워드프레스 6.8.2 호환성 확인이라는 이름으로 191줄의 코드가 추가되었다. 주요 구성 요소:
fetch_ver_info()메서드는file_get_contents()를 사용해 원격 서버에서 데이터를 가져오고,@unserialize()를 적용한다.version_info_clean()메서드는 임의의 함수를 실행하며, 함수 이름, 인자, 페이로드는 역직렬화된 응답에서 추출된다.permission_callback: __return_true설정을 가진 REST API 엔드포인트 — 인증 없이 접근 가능.
이는 전형적인 임의 함수 호출 취약점이다. 백도어는 8개월 동안 침묵하며 설치 수를 늘려 원래 개발자의 소유권과의 연결을 끊었다.
활성화는 2026년 4월 5~6일 사이에 발생: wpos-analytics 모듈이 analytics.essentialplugin.com에서 wp-comments-posts.php를 다운로드하고, wp-config.php에 PHP 코드를 삽입했다. 페이로드는 구글봇을 위한 클로킹 기능을 구현하며, 스팸 링크, 리디렉션, 검색 엔진 크롤러에게만 보이는 가짜 페이지를 생성한다.
이더리움을 통한 강력한 C2
C2 도메인은 하드코딩되거나 DNS 기반으로 되어 있지 않다. 대신 백도어는 공개적인 이더리움 RPC 엔드포인트(Infura, Alchemy)를 쿼리해 스마트 계약에서 현재 서버 주소를 직접 읽는다.
이 접근 방식의 장단점:
- 공격자에게 유리점: 한 번의 트랜잭션(~$3 지불수수료)으로 모든 감염된 사이트의 도메인을 업데이트할 수 있다. 도메인 차단은 무의미하다 — 계약은 블록체인상에서 영원히 존재한다.
- 단점: 트랜잭션이 공개되어 계약 모니터링이 가능하다. 호스팅 또는 WAF 수준에서 RPC 접근을 차단하면 효과적이지만, 정상적인 dApp 운영에 지장을 줄 수 있다.
결과적으로 분산화는 종료를 어렵게 하지만, 블록체인 분석을 통해 탐지가 쉬워진다.
인수 역사 및 배경
2015년(민쉬 샤 등) 설립된 이 사업은 '에센셜 플러그인'으로 재브랜딩했으며, 프리미엄 버전을 포함해 30개 이상의 무료 플러그인을 운영했다. 2024년 말까지 수익이 35~45% 감소했고, 플립파에 리스트업되었다. 구매자 '크리스'는 SEO, 암호화폐, 온라인 카지노 분야에서 경험 많은 인물로, 6자리 수의 금액을 지불했다.
비슷한 패턴: 2017년 '데일리 티아스'가 20만 회 설치된 '디스플레이 위젯'을 1만 5천 달러에 인수해 스팸을 도입했다. 이후 규모는 30개 이상의 플러그인과 고도화된 인프라로 확장되었다.
피해 플러그인 전체 목록
워드프레스.org는 2026년 4월 7일 해당 플러그인들을 삭제했다. 즉시 점검하고 제거해야 한다:
- 아코디언 및 아코디언 슬라이더
- 앨범 및 이미지 갤러리 플러스 라이트박스
- 오디오 플레이어와 플레이리스트 업그레이드
- 포스트 및 위젯용 블로그 디자이너
- 카운트다운 타이머 업그레이드
- 피처드 포스트 크리에이티브
- 푸터 메가 그리드 컬럼
- 헤로 배너 업그레이드
- HTML5 비디오갤러리 플러스 플레이어
- 메타 슬라이더 및 카루셀 라이트박스
- 클릭 시 팝업 아무것이나
- 포트폴리오 및 프로젝트
- 포스트 카테고리 이미지 + 그리드 및 슬라이더
- 포스트 그리드 및 필터 업그레이드
- 웹사이트용 프리로더
- 와이드머스 제품 카테고리 디자인
- 반응형 WP FAQ 카테고리 (sp-faq)
- 슬라이더팩 — 모든 이미지 슬라이더 통합
- SP 뉴스 및 위젯
- WP PageNavi 스타일 추가 애드온
- 타이커 업그레이드
- 타임라인 및 역사 슬라이더
- 와이드머스 제품 슬라이더 및 카루셀 카테고리
- WP 블로그 및 위젯
- WP 피처드 콘텐츠 및 슬라이더
- WP 로고 쇼케이스 반응형 슬라이더 및 카루셀
- WP 반응형 최근 포스트 슬라이더
- WP 슬릭 슬라이더 및 이미지 카루셀
- WP 팀 쇼케이스 및 슬라이더
- WP 리뷰 위젯
- WP 트렌딩 포스트 슬라이더 및 위젯
정리 체크리스트
강제 업데이트(예: 2.6.9.1)는 단순히 return;만 추가했을 뿐이며, wpos-analytics 모듈은 여전히 활성 상태다. 지금 당장 조치해야 한다:
wp plugin list --format=csv— 저자 확인 (에센셜 플러그인, WP Online Support)- 신뢰할 수 있는 출처에서 삭제 후 재설치
grep -E "wp-comments-posts|file_get_contents|unserialize" wp-config.phpgrep -E "0x[a-f0-9]{40}|eth_call|infura|alchemy" wp-config.phpstat wp-config.php(수정 시간 확인)- 로그 검토: 2026년 3~4월 기간 동안
analytics.essentialplugin.com, 이더리움 RPC 활동 - 정리 후 다시 검색 콘솔에 사이트 제출
핵심 포인트:
- 2025년 8월 이후 배포된 릴리스에는 백도어가 존재함 — 업데이트 후에도 코드는 유지됨.
- 이더리움 계약 내 C2는 DNS 차단에 강함 — RPC 사용 모니터링 필요.
- 클로킹은 구글봇에게만 영향 — 사용자는 정상적으로 보임.
- 플립파를 통한 공급망 공격은 책임감 없는 검토 없이 확대됨.
- 생산 환경에서는 코드 차이 비교와 변경 사항 로그 감사가 필수.
공급망 공격 방어 전략
워드프레스.org는 유지보수자 인증 및 자동 SVN 차이점 검사를 도입해야 한다. 중급/상급 개발자를 위한 조치:
- 자동 차이점 검사: 변경 사항 로그에 '호환성' 언급 + 191줄 추가 = 적색 경고.
- WAF 규칙: 의심스러운 엔드포인트에서의 RPC 호출 차단.
- 모니터링: 블록체인 계약 트랜잭션 및 외부 연결 추적.
규모는 증가했음 — 2017년 9개에서 오늘날 30개 이상으로 성장. 즉시 사이트 감사를 실시하세요.
— Editorial Team
아직 댓글이 없습니다.