何者かがWordPressプラグイン30個を購入し全てにバックドアを仕込む
原題: Someone Bought 30 WordPress Plugins and Planted a Backdoor in All of Them
なぜ重要か
WordPressエコシステムの脆弱性を露呈し、プラグイン取得時の信頼性検証の重要性を示す事例
悪意のある攻撃者が、オンライン市場Flippaで30個以上のWordPressプラグインを購入し、全てにバックドアを埋め込む大規模な供給チェーン攻撃を実行。WordPress.orgが31個のプラグインを強制閉鎖。プラグインは8か月間潜伏した後に活動を開始し、Googlebot向けのSEOスパムを配信していた。
セキュリティ専門家のAustin Ginderは、WordPressプラグイン「Countdown Timer Ultimate」で発見されたマルウェアの調査を通じて、大規模な供給チェーン攻撃を明らかにした。攻撃者は30個以上のプラグインを購入し、全てにバックドアを仕込んでいた。
調査によると、プラグインのwpos-analyticsモジュールがanalytics.essentialplugin.comに接続し、wp-comments-posts.phpという偽のファイルをダウンロード。これによりwp-config.phpに大量のPHPコードが注入された。注入されたコードは、コマンド&コントロールサーバーからスパムリンクや偽ページを取得し、Googlebotにのみ表示させる巧妙な仕組みだった。
特に興味深いのは、攻撃者がEthereumスマートコントラクトを通じてC2ドメインを解決していた点だ。これにより従来のドメイン差し押さえ対策では対処できない仕組みを構築していた。
フォレンジック分析により、バックドアは2025年8月8日のバージョン2.6.7で埋め込まれ、2026年4月6日に活動を開始したことが判明。8か月間潜伏していた計算になる。WordPress.orgは31個の感染プラグインを強制閉鎖し、修正版を配布したが、既に感染したサイトのwp-config.phpは手動での清掃が必要な状態だった。
出典
※ 本記事は海外メディアの公開情報を元に編集部が日本語で要約したものです。投資判断の推奨ではありません。