Backdoor w 30+ pluginach WordPress: deserializacja PHP i C2 w kontrakcie Ethereum
Haker zakupił ponad 30 popularnych pluginów WordPress przez platformę Flippa, wdrożył ukryty backdoor oparty na deserializacji PHP i aktywował go po 8 miesiącach, aby rozprzestrzenić spam SEO. Serwer C2 jest ukryty w inteligentnym kontrakcie Ethereum, co sprawia, że jest odporny na standardowe blokady domen. Zainfekowane pluginy od twórcy Essential Plugin (byłe WP Online Support) zostały zamknięte na WordPress.org 7 kwietnia 2026 roku.
Mechanizm wdrożenia backdooru
Backdoor pojawił się w pierwszym commicie SVN nowego właściciela w sierpniu 2025 roku. W pliku class-anylc-admin.php dodano 191 linii kodu pod pozorem sprawdzania zgodności z WordPressem 6.8.2. Kluczowe elementy:
- Metoda
fetch_ver_info()pobiera dane z zdalnego serwera przezfile_get_contents()i stosuje@unserialize(). - Metoda
version_info_clean()wykonuje dowolną funkcję: nazwa, argumenty i dane pochodzą z deserializowanej odpowiedzi. - Endpoint REST API z
permission_callback: __return_true— brak uwierzytelniania.
To klasyczne wywołanie dowolnej funkcji. Backdoor spoczywał 8 miesięcy, zbierając instalacje, by zerwać powiązanie z zmianą właściciela.
Aktywacja nastąpiła 5–6 kwietnia 2026: moduł wpos-analytics pobrał wp-comments-posts.php z analytics.essentialplugin.com i wstrzyknął blok PHP do wp-config.php. Ten blok to cloaking dla Googlebot: linki spamowe, przekierowania i fałszywe strony są widoczne tylko dla robota wyszukiwarki.
Wytrzymały C2 przez Ethereum
Domena C2 nie jest zakodowana i nie wykorzystuje DNS. Backdoor żąda publicznych RPC Ethereum (Infura, Alchemy) i odczytuje aktualny adres serwera z inteligentnego kontraktu.
Zalety tej strategii dla atakującego:
- Jedna transakcja (~$3 gaz) zmienia domenę dla wszystkich zainfekowanych systemów. Usunięcie domeny jest bezcelowe — kontrakt jest wieczny w blockchainie.
- Wady: Transakcje są publiczne, monitorowanie kontraktu jest możliwe. Blokada RPC na hostingu/WAF działa, ale może naruszyć działanie legitymnych dApp.
Rozwiązanie: dezentralizacja utrudnia dezaktywację, ale ułatwia wykrycie poprzez analizę on-chain.
Historia zakupu i kontekst
Biznes działa od 2015 roku (Minesh Shah itd.) został przebrandowany na Essential Plugin, miał ponad 30 darmowych pluginów z opcją premium. Dochód spadł o 35–45% do końca 2024 roku i został wystawiony na Flippa. Kupujący «Kris» z doświadczeniem w SEO, kryptowalutach i kasynach online zapłacił sześciocyfrową sumę.
Podobny schemat: w 2017 roku «Daley Tias» kupił Display Widgets (200 tys. instalacji) za 15 tys. USD i wdrożył spam. Skala wzrosła do ponad 30 pluginów z zaawansowaną infrastrukturą.
Pełna lista zainfekowanych pluginów
WordPress.org zamknął je 7 kwietnia 2026 roku. Sprawdź i usuń natychmiast:
- Accordion and Accordion Slider
- Album and Image Gallery Plus Lightbox
- Audio Player with Playlist Ultimate
- Blog Designer for Post and Widget
- Countdown Timer Ultimate
- Featured Post Creative
- Footer Mega Grid Columns
- Hero Banner Ultimate
- HTML5 VideoGallery Plus Player
- Meta Slider and Carousel with Lightbox
- Popup Anything on Click
- Portfolio and Projects
- Post Category Image with Grid and Slider
- Post Grid and Filter Ultimate
- Preloader for Website
- Product Categories Designs for WooCommerce
- Responsive WP FAQ with Category (sp-faq)
- SlidersPack — All in One Image Sliders
- SP News And Widget
- Styles for WP PageNavi — Addon
- Ticker Ultimate
- Timeline and History Slider
- Woo Product Slider and Carousel with Category
- WP Blog and Widgets
- WP Featured Content and Slider
- WP Logo Showcase Responsive Slider and Carousel
- WP Responsive Recent Post Slider
- WP Slick Slider and Image Carousel
- WP Team Showcase and Slider
- WP Testimonial with Widget
- WP Trending Post Slider and Widget
Checklist czyszczenia
Ostatnia aktualizacja (np. 2.6.9.1) dodała tylko return; — moduł wpos-analytics nadal istnieje. Działaj:
wp plugin list --format=csv— sprawdź autorów (Essential Plugin, WP Online Support).- Usuń/ponownie zainstaluj z wiarygodnych źródeł.
grep -E "wp-comments-posts|file_get_contents|unserialize" wp-config.phpgrep -E "0x[a-f0-9]{40}|eth_call|infura|alchemy" wp-config.php- Sprawdź
stat wp-config.php(mtime). - Logi:
analytics.essentialplugin.com, RPC Ethereum marzec–kwiecień 2026. - Search Console: ponowne przesłanie po oczyszczeniu.
Co ważne:
- Backdoor w wersjach po sierpniu 2025 jest zainfekowany; kod pozostaje po aktualizacji.
- C2 w kontrakcie Ethereum jest odporny na blokady DNS — monitoruj RPC.
- Cloaking działa tylko dla Googlebot, strona wygląda czysto.
- Ataki supply-chain skalują się przez Flippa bez due diligence.
- Audyt różnicy kodu vs changelog jest obowiązkowy w środowisku produkcyjnym.
Ochrona przed atakami supply-chain
WordPress.org powinien wdrożyć weryfikację maintainersów i automatyczny diff SVN. Dla deweloperów średnio-/wyższego poziomu:
- Automatyzuj porównanie: changelog «compatibility» + 191 linii = flaga.
- WAF: blokuj RPC dla podejrzanych endpointów.
- Monitoruj: transakcje on-chain kontraktu + wychodzące połączenia.
Skala wzrosła: od 9 pluginów w 2017 do ponad 30. Sprawdź swoje strony natychmiast.
— Editorial Team
Brak komentarzy.