通过一次巨大的供应链攻击,黑客成功利用后门破坏了93个WordPress主题和插件,使他们能够完全访问该网站。黑客总共攻破了AccessPress的40个主题和53个插件,AccessPress是一家在360,000多个活跃网站上使用的WordPress插件开发商。该攻击首先由WordPress站点安全和优化工具的创建者Jetpack的研究人员发现,他们发现了一个被添加到主题和插件中的PHP后门。Jetpack认为外部威胁行为者破坏了AccessPress站点,破坏了软件并感染了更多WordPress站点。一旦管理员在他们的网站上安装了受感染的AccessPress产品,攻击者就会在主主题目录中添加一个新的“initial.php”文件,并将其合并到主“function.php”文件中。该文件包含一个base64编码的有效载荷,它将webshel??l写入“./wp-includes/vars.php”文件。恶意代码通过解码有效负载并将其注入“vars.php”文件来完成后门的安装,实质上是让威胁参与者远程控制受感染的网站。检测此威胁的唯一方法是使用核心文件完整性监控解决方案,因为恶意软件会删除“initial.php”文件的植入程序以掩盖其踪迹。
