Powrót do strony głównej

Backdoor w wtyczkach WordPress: C2 w Ethereum

Haker wprowadził backdoor w 30+ wtyczkach WordPress przez zakup na Flippa, używając deserializacji PHP i C2 w kontrakcie Ethereum do SEO-spamu. Atak odporny na blokady, wymaga audytu wp-config.php i logów. Lista kontrolna i środki ochrony dla deweloperów.

Haker włamał się do 30 wtyczek WP przez Ethereum C2
Advertisement 728x90

Backdoor w 30+ pluginach WordPress: deserializacja PHP i C2 w kontrakcie Ethereum

Haker zakupił ponad 30 popularnych pluginów WordPress przez platformę Flippa, wdrożył ukryty backdoor oparty na deserializacji PHP i aktywował go po 8 miesiącach, aby rozprzestrzenić spam SEO. Serwer C2 jest ukryty w inteligentnym kontrakcie Ethereum, co sprawia, że jest odporny na standardowe blokady domen. Zainfekowane pluginy od twórcy Essential Plugin (byłe WP Online Support) zostały zamknięte na WordPress.org 7 kwietnia 2026 roku.

Mechanizm wdrożenia backdooru

Backdoor pojawił się w pierwszym commicie SVN nowego właściciela w sierpniu 2025 roku. W pliku class-anylc-admin.php dodano 191 linii kodu pod pozorem sprawdzania zgodności z WordPressem 6.8.2. Kluczowe elementy:

  • Metoda fetch_ver_info() pobiera dane z zdalnego serwera przez file_get_contents() i stosuje @unserialize().
  • Metoda version_info_clean() wykonuje dowolną funkcję: nazwa, argumenty i dane pochodzą z deserializowanej odpowiedzi.
  • Endpoint REST API z permission_callback: __return_true — brak uwierzytelniania.

To klasyczne wywołanie dowolnej funkcji. Backdoor spoczywał 8 miesięcy, zbierając instalacje, by zerwać powiązanie z zmianą właściciela.

Google AdInline article slot

Aktywacja nastąpiła 5–6 kwietnia 2026: moduł wpos-analytics pobrał wp-comments-posts.php z analytics.essentialplugin.com i wstrzyknął blok PHP do wp-config.php. Ten blok to cloaking dla Googlebot: linki spamowe, przekierowania i fałszywe strony są widoczne tylko dla robota wyszukiwarki.

Wytrzymały C2 przez Ethereum

Domena C2 nie jest zakodowana i nie wykorzystuje DNS. Backdoor żąda publicznych RPC Ethereum (Infura, Alchemy) i odczytuje aktualny adres serwera z inteligentnego kontraktu.

Zalety tej strategii dla atakującego:

Google AdInline article slot
  • Jedna transakcja (~$3 gaz) zmienia domenę dla wszystkich zainfekowanych systemów. Usunięcie domeny jest bezcelowe — kontrakt jest wieczny w blockchainie.
  • Wady: Transakcje są publiczne, monitorowanie kontraktu jest możliwe. Blokada RPC na hostingu/WAF działa, ale może naruszyć działanie legitymnych dApp.

Rozwiązanie: dezentralizacja utrudnia dezaktywację, ale ułatwia wykrycie poprzez analizę on-chain.

Historia zakupu i kontekst

Biznes działa od 2015 roku (Minesh Shah itd.) został przebrandowany na Essential Plugin, miał ponad 30 darmowych pluginów z opcją premium. Dochód spadł o 35–45% do końca 2024 roku i został wystawiony na Flippa. Kupujący «Kris» z doświadczeniem w SEO, kryptowalutach i kasynach online zapłacił sześciocyfrową sumę.

Podobny schemat: w 2017 roku «Daley Tias» kupił Display Widgets (200 tys. instalacji) za 15 tys. USD i wdrożył spam. Skala wzrosła do ponad 30 pluginów z zaawansowaną infrastrukturą.

Google AdInline article slot

Pełna lista zainfekowanych pluginów

WordPress.org zamknął je 7 kwietnia 2026 roku. Sprawdź i usuń natychmiast:

  • Accordion and Accordion Slider
  • Album and Image Gallery Plus Lightbox
  • Audio Player with Playlist Ultimate
  • Blog Designer for Post and Widget
  • Countdown Timer Ultimate
  • Featured Post Creative
  • Footer Mega Grid Columns
  • Hero Banner Ultimate
  • HTML5 VideoGallery Plus Player
  • Meta Slider and Carousel with Lightbox
  • Popup Anything on Click
  • Portfolio and Projects
  • Post Category Image with Grid and Slider
  • Post Grid and Filter Ultimate
  • Preloader for Website
  • Product Categories Designs for WooCommerce
  • Responsive WP FAQ with Category (sp-faq)
  • SlidersPack — All in One Image Sliders
  • SP News And Widget
  • Styles for WP PageNavi — Addon
  • Ticker Ultimate
  • Timeline and History Slider
  • Woo Product Slider and Carousel with Category
  • WP Blog and Widgets
  • WP Featured Content and Slider
  • WP Logo Showcase Responsive Slider and Carousel
  • WP Responsive Recent Post Slider
  • WP Slick Slider and Image Carousel
  • WP Team Showcase and Slider
  • WP Testimonial with Widget
  • WP Trending Post Slider and Widget

Checklist czyszczenia

Ostatnia aktualizacja (np. 2.6.9.1) dodała tylko return; — moduł wpos-analytics nadal istnieje. Działaj:

  • wp plugin list --format=csv — sprawdź autorów (Essential Plugin, WP Online Support).
  • Usuń/ponownie zainstaluj z wiarygodnych źródeł.
  • grep -E "wp-comments-posts|file_get_contents|unserialize" wp-config.php
  • grep -E "0x[a-f0-9]{40}|eth_call|infura|alchemy" wp-config.php
  • Sprawdź stat wp-config.php (mtime).
  • Logi: analytics.essentialplugin.com, RPC Ethereum marzec–kwiecień 2026.
  • Search Console: ponowne przesłanie po oczyszczeniu.

Co ważne:

  • Backdoor w wersjach po sierpniu 2025 jest zainfekowany; kod pozostaje po aktualizacji.
  • C2 w kontrakcie Ethereum jest odporny na blokady DNS — monitoruj RPC.
  • Cloaking działa tylko dla Googlebot, strona wygląda czysto.
  • Ataki supply-chain skalują się przez Flippa bez due diligence.
  • Audyt różnicy kodu vs changelog jest obowiązkowy w środowisku produkcyjnym.

Ochrona przed atakami supply-chain

WordPress.org powinien wdrożyć weryfikację maintainersów i automatyczny diff SVN. Dla deweloperów średnio-/wyższego poziomu:

  • Automatyzuj porównanie: changelog «compatibility» + 191 linii = flaga.
  • WAF: blokuj RPC dla podejrzanych endpointów.
  • Monitoruj: transakcje on-chain kontraktu + wychodzące połączenia.

Skala wzrosła: od 9 pluginów w 2017 do ponad 30. Sprawdź swoje strony natychmiast.

— Editorial Team

Advertisement 728x90

Czytaj dalej