Hacker News 中文摘要

RSS订阅

官方Gravity Forms插件中发现恶意软件,显示供应链遭入侵 -- Malware found in official gravityforms plugin indicating supply chain breach

原文链接 | HN讨论 | 2025-07-12 22:37:08

文章摘要

官方GravityForms插件中发现恶意软件,表明供应链遭到破坏。恶意代码通过updateentrydetail和list_sections函数植入,攻击者利用伪造的用户代理通过特定IP地址访问受感染站点的URL。

文章总结

文章主要内容总结

标题: 官方GravityForms插件中发现恶意软件,表明供应链被入侵

发布时间: 2025年7月11日

来源: Patchstack

1. 初始发现

Patchstack团队在监控供应链攻击时,发现GravityForms插件中存在恶意代码。该恶意代码通过插件中的update_entry_detail函数向gravityapi.org发送可疑的HTTP请求,该域名于2025年7月8日注册,疑似为恶意域名。

2. 技术分析

  • updateentrydetail函数: 该函数会向gravityapi.org发送POST请求,包含WordPress实例的详细信息(如站点URL、WordPress版本、PHP版本等)。响应数据会被解码并写入服务器上的指定文件,可能导致远程代码执行。

  • list_sections函数: 该函数通过notification.php调用,能够执行多种恶意操作,包括创建管理员用户、执行任意代码、上传文件、删除用户、列出服务器上的文件和目录等。

3. 入侵指标(IOCs)

  • IP地址: 185.193.89.19, 193.160.101.6
  • 域名: gravityapi.org, gravityapi.io
  • 文件: gravityforms/common.php, includes/settings/class-settings.php, wp-includes/bookmark-canonical.php
  • 密钥: Cx3VGSwAHkB9yzIL9Qi48IFHwKm4sQ6Te5odNtBYu6Asb9JX06KYAWmrfPtG1eP3

4. 更新与修复

  • 2025年7月11日12:07 UTC: GravityForms确认正在调查恶意软件问题,并移除了恶意代码。
  • 2025年7月11日14:10 UTC: 发布了无后门的安全版本2.9.13,域名gravityapi.org已被Namecheap暂停。
  • 2025年8月11日06:00 UTC: 观察到IP地址193.160.101.6尝试通过伪造用户代理访问多个URL,表明攻击仍在进行。

5. 结论

Patchstack团队已通知GravityForms的开发者RocketGenius,并确认恶意代码在重新下载插件后已被移除。Patchstack将继续监控相关日志,并更新防护规则以阻止对恶意域名的请求。

建议: 如果用户怀疑自己受到影响,建议检查相关文件是否存在恶意代码,并及时更新到最新版本。如有疑问,可联系Patchstack团队获取帮助。

评论总结

  1. 关于安全措施的讨论

    • 主要观点:使用随机数(nonce)检查表单可以有效防止问题。
    • 关键引用
      • "Using a nonce before checking the form would have prevented much of the problems described."(在检查表单之前使用随机数可以防止大部分问题。)
      • "Or stated differently, it would suddenly require lots of manual labour."(换句话说,这将突然需要大量的手动工作。)

  2. 关于插件的透明度

    • 主要观点:文章应明确提及涉及的插件名称。
    • 关键引用
      • "Should say what plugin it is."(应该说明是哪个插件。)

  3. 对发现漏洞的赞赏

    • 主要观点:赞赏系统操作员和开发者通过细致观察发现漏洞。
    • 关键引用
      • "I really appreciate that this supply breach was discovered by a diligent system operator."(我非常赞赏这次供应链漏洞是由一位尽职的系统操作员发现的。)
      • "Similarly, the xz breach was uncovered by a diligent developer looking at quirky SSH login performance regressions."(同样,xz漏洞也是由一位细心的开发者通过观察SSH登录性能异常发现的。)

  4. 对漏洞原因的质疑

    • 主要观点:质疑漏洞是否由内部不良行为者引入。
    • 关键引用
      • "How is this even possible? Is the most likely explanation that a bad actor within GravityForms snuck something in?"(这怎么可能?最可能的解释是GravityForms内部的不良行为者偷偷引入了什么吗?)

  5. 对文章细节的指正

    • 主要观点:文章中的日期错误需要修正。
    • 关键引用
      • "The most recent update at the top of the page should probably be 'Update 7-12-2025 06:00 UTC' instead of the current future date of 08-11-2025."(页面顶部的最新更新日期应该是“2025年7月12日06:00 UTC”,而不是当前的未来日期2025年8月11日。)
      • "I think the author incremented the wrong digit."(我认为作者增加了错误的数字。)