Более 30 плагинов WordPress из пакета EssentialPlugin были скомпрометированы вредоносным кодом, который позволяет несанкционированный доступ к работающим на них сайтам.
Вредоносный актор внедрил код бэкдора еще в прошлом году, но начал распространять его среди пользователей только недавно через обновления, генерируя спам-страницы и вызывая перенаправления в соответствии с инструкциями, полученными с командно-контрольного (C2) сервера.
Компрометация затронула плагины с сотнями тысяч активных установок и была обнаружена Остином Гиндером, основателем управляемого хостинга WordPress Anchor Hosting, после получения наводки об одном дополнении, содержащем код, разрешающий доступ третьим лицам.
Дальнейшее расследование Гиндера показало, что бэкдор присутствовал во всех плагинах пакета EssentialPlugin с августа 2025 года, после того как проект был приобретен новым владельцем за шестизначную сумму.
EssentialPlugin, основанная в 2015 году как WP Online Support и переименованная в 2021 году, является фирмой по разработке для WordPress, предлагающей слайдеры, галереи, маркетинговые инструменты, расширения для WooCommerce, утилиты SEO/аналитики и темы.
По словам Гиндера, бэкдор оставался неактивным до недавней активации, после чего он незаметно связывался с внешней инфраструктурой для получения файла («wp-comments-posts.php»), который внедряет вредоносное ПО в «wp-config.php».
Загруженное вредоносное ПО невидимо для владельцев сайтов и использует разрешение C2-адреса на основе Ethereum для уклонения от обнаружения. В зависимости от полученных инструкций, вредоносное ПО может извлекать «спам-ссылки, перенаправления и поддельные страницы».
«Внедренный код был сложным. Он получал спам-ссылки, перенаправления и поддельные страницы с командно-контрольного сервера. Он показывал спам только Googlebot, делая его невидимым для владельцев сайтов», — пояснил Гиндер.
Анализ от платформы безопасности WordPress PatchStack показывает, что бэкдор срабатывал только в том случае, если конечная точка ‘analytics.essentialplugin.com’ возвращала вредоносный сериализованный контент.
Действия WordPress и статус заражения
WordPress.org оперативно отреагировал на сообщения о вредоносной активности, закрыв плагины и выпустив принудительное обновление для сайтов, чтобы нейтрализовать связь бэкдора и отключить его путь выполнения.
Однако разработчики предупредили, что это действие не очистило основной конфигурационный файл wp-config, который связывает сайты с их базами данных и содержит важные настройки.
Команда плагинов WordPress.org также предостерегла администраторов сайтов, использующих продукты EssentialPlugin, что, хотя одним известным местоположением бэкдора является файл с именем wp-comments-posts.php, который похож на легитимный wp-comments-post.php, вредоносное ПО может скрываться и в других файлах.
BleepingComputer связался с EssentialPlugins для получения комментариев о зафиксированном вредоносном коммите, произошедшем после приобретения, но на момент публикации ответа не получил.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
