夜雨聆风近日,WordPress插件供应商ShapedPlugin的构建与分发管道遭攻击者入侵,恶意代码被注入到通过官方授权更新渠道分发的Pro版本插件中。ShapedPlugin旗下的免费插件在WordPress.org插件库中拥有超过40万活跃安装量,此次攻击仅影响通过Easy Digital Downloads基础设施分发的商业版本,免费插件未受影响。攻击者能够选择性地仅向商业授权版本注入恶意代码。
攻击者在受感染的插件包中植入了一个恶意加载器文件,该文件会在管理员页面加载时触发,从远程服务器下载载荷,将其安装为伪装插件,向C2服务器报告受害域名,然后自动删除自身以清除痕迹。这种自删除行为使感染初期痕迹迅速消失,增加了事后取证的难度。
下载的伪装插件包含多种攻击工具,包括文件管理器、数据库管理工具、URL参数网页后门等,能够实现文件管理、数据库操作和远程命令执行。其中最为关键的是凭证窃取功能,该模块能够捕获明文用户名和密码,并专门针对WP 2FA、Wordfence Login Security、Really Simple SSL 2FA等多个双因素认证插件的TOTP种子进行定向窃取。攻击者同时获得密码和TOTP种子后,可以完全绕过双因素认证。
此外,恶意插件还注册了REST API后门,支持通过认证令牌写入任意文件;包含硬编码的登录绕过机制,允许攻击者在不知道密码的情况下以管理员身份登录。在数据窃取方面,恶意插件会收集wp-config.php中的数据库凭证、管理员账户信息、邮件插件凭证以及近三个月的WooCommerce订单数据。
此次攻击的时间线显示,攻击者于5月21日将恶意代码注入Pro版本构建,5月18日已出现最早感染案例,Wordfence于6月10日确认感染后与供应商取得联系,供应商于6月16日发布声明确认已展开调查并实施修复措施。受影响的插件包括Real Testimonials Pro 3.2.5、Product Slider Pro 3.5.4之前版本及Smart Post Pro 4.0.2之前版本。
建议使用ShapedPlugin Pro产品的网站所有者立即进行扫描,检查是否存在伪装插件,轮换所有管理员密码、数据库凭证和API密钥,并重新生成所有用户的2FA密钥。此次攻击反映了供应链安全威胁的持续演进,攻击者已开始针对双因素认证等额外安全层进行主动猎取。
