WordPress安全公司Wordfence披露一款伪装成防恶意程序插件的恶意软件。该插件名为WP-antymalwary-bot.php,实际上内置后门程序代码,可远程执行指令并维持持久控制,并通过REST API与C2服务器通信,使攻击者能操控受感染的网站。
该恶意软件不仅具备多种功能,也刻意模仿正常插件的结构,企图降低开发者警觉。程序代码维持WordPress插件常见的格式与风格,包括完整的说明注解、标准的语法缩进,甚至出现多语言内容,从表面上看起来就像是一般的合法插件。
其核心后门机制,是通过WordPress初始化阶段挂入一组特殊函数,监听网址中的emergency_login参数,当访客访问网站并附带特定明文密码时,恶意程序会自动从数据库中抓取第一笔具有管理员权限的用户账号,并直接设置登录Cookie,使攻击者得以无需验证程序进入网站后台。由于这一过程完全绕过正常认证机制,且触发条件单纯,只需一组明文密码与网址参数即可,让攻击者能长期隐秘地维持控制权。
研究人员进一步分析发现,攻击者借由注入PHP程序代码至所有布景主题中的header.php,植入广告脚本或创建重定向逻辑,借此引导网站访客观看第三方广告、前往指定网站,或进一步接触恶意内容。 此外,该插件会将自己存储在插件目录中,并修改wp-cron.php,于访客访问网站时自动重建与激活恶意插件,形成难以移除的持久性机制。在更新版本中,还观察到攻击程序通过WordPress内置定时任务机制,每分钟向C2服务器进行回应,发送网站网址与时间戳,便于攻击者关注感染情况与维持控制。
Wordfence指出,此次观察到的恶意插件与2024年6月披露的供应链攻击案例,在程序撰写风格与特征上具有相似性,显示攻击者可能正采用人工智能辅助生成恶意程序代码,进一步降低被识别机率并提升迭代效率。该恶意程序还设计了Base64编码广告连接,与可由远程指令更新内容机制,不仅模块化程度高,还具备后续动态调整与升级的弹性,研究人员认为该恶意程序代码并非仅一次性使用。
