공격자가 워드프레스 플러그인 30개 매입해 백도어 삽입
원제: Someone Bought 30 WordPress Plugins and Planted a Backdoor in All of Them
왜 중요한가
플러그인 매입을 통한 대규모 공급망 공격으로 워드프레스 생태계 보안 취약성이 드러남
악의적 공격자가 플리파(Flippa)에서 워드프레스 플러그인 30개를 6자릿수 금액으로 매입한 후 백도어를 심었다고 4월 9일 보고됐다. 백도어는 8개월간 잠복 후 활성화돼 SEO 스팸을 주입했으며, 워드프레스는 31개 플러그인을 폐쇄 조치했다.
보안 전문가 오스틴 긴더는 공급망 공격 사례를 상세히 분석했다. 공격자는 플러그인 포트폴리오를 6자릿수 금액에 매입한 후, 'Countdown Timer Ultimate' 등 30개 이상 플러그인에 악성 코드를 삽입했다. 백도어는 2025년 8월 버전 2.6.7 업데이트를 통해 심어졌으나 8개월간 잠복 상태를 유지했다. 2026년 4월 6일 오전 4시22분~11시6분 사이 6시간44분 동안 활성화돼 wp-config.php 파일에 악성 코드를 주입했다. 이 백도어는 analytics.essentialplugin.com에 접속해 가짜 wp-comments-posts.php 파일을 다운로드한 후, 구글봇에게만 스팸 링크와 리디렉션을 제공하는 정교한 SEO 스팸 시스템을 구축했다. 특히 이더리움 스마트 컨트랙트를 통해 C2 서버 도메인을 해석하는 고도의 기법을 사용해 전통적인 도메인 차단을 우회했다. 워드프레스는 강제 업데이트로 플러그인 자체는 무력화했지만 wp-config.php의 악성 코드는 여전히 활성 상태였다.
출처
※ 본 기사는 해외 미디어의 공개 정보를 편집부가 한국어로 요약한 것입니다. 투자 판단을 권유하는 것이 아닙니다.