30 WordPress प्लगइन्स में बैकडोर लगाया गया
मूल शीर्षक: Someone bought 30 WordPress plugins and planted a backdoor in all of them
यह क्यों महत्वपूर्ण है
WordPress ecosystem में बड़े पैमाने की supply chain attack का उदाहरण
किसी ने 30+ WordPress प्लगइन्स खरीदकर सभी में बैकडोर लगाया। Flippa पर 6 अंकों की राशि से खरीदे गए प्लगइन्स में 8 महीने तक निष्क्रिय रहने के बाद बैकडोर सक्रिय हुआ। WordPress.org ने 31 प्लगइन्स बंद किए।
एक बड़े पैमाने पर supply chain attack में 30+ WordPress प्लगइन्स समझौता किए गए। Countdown Timer Ultimate प्लगइन में unauthorized third-party access की चेतावनी मिली। प्लगइन के wpos-analytics module ने analytics.essentialplugin.com से संपर्क करके wp-comments-posts.php नाम की बैकडोर फ़ाइल डाउनलोड की और wp-config.php में PHP कोड इंजेक्ट किया। इंजेक्टेड कोड केवल Googlebot को spam links दिखाता था, जिससे साइट मालिकों को पता नहीं चलता था। आक्रमणकारी ने Ethereum smart contract के जरिए अपना C2 domain resolve किया, जिससे पारंपरिक domain takedown काम नहीं करता। Version 2.6.7 में August 8, 2025 को 191 लाइनों का कोड जोड़ा गया था जिसमें PHP deserialization backdoor था। यह 8 महीने तक निष्क्रिय रहा और April 5-6, 2026 को सक्रिय हुआ। मूल प्लगइन Flippa पर 6 अंकों की राशि में बेचा गया था।