Hacker News 中文摘要

RSS订阅

有人购买了30款WordPress插件并在其中全部植入后门 -- Someone Bought 30 WordPress Plugins and Planted a Backdoor in All of Them

原文链接 | HN讨论 | 2026-04-14 03:38:56

文章摘要

有人收购了30多个WordPress插件并植入后门,其中倒计时插件被用户举报触发警报。调查发现插件通过伪装模块下载恶意文件,在wp-config.php中注入后门代码,攻击者为此支付了六位数美元收购插件组合。WordPress.org已下架31个相关插件,部分后门潜伏8个月才激活。

文章总结

标题:黑客收购30款WordPress插件并植入后门

事件概述: 近期发生一起针对WordPress插件的大规模供应链攻击事件。黑客通过Flippa平台以六位数价格收购了Essential Plugin公司旗下30余款插件后,在至少26款插件中植入了隐蔽后门。

攻击细节: 1. 攻击时间线: - 2025年初:化名"Kris"的买家完成收购 - 2025年8月:首次在v2.6.7版本植入反序列化漏洞后门 - 2026年4月:后门被激活,开始向用户网站注入恶意代码

  1. 技术手段:
  • 通过wpos-analytics模块连接C2服务器(analytics.essentialplugin.com)
  • 下载伪装成核心文件(wp-comments-posts.php)的后门程序
  • 在wp-config.php中注入6KB恶意代码
  • 采用区块链技术规避追踪:通过以太坊智能合约解析C2域名
  1. 攻击特征:
  • 仅对Googlebot显示垃圾链接
  • 后门潜伏8个月才被激活
  • 影响范围:至少26款插件,数十万活跃安装量

受影响插件(部分): • 终极倒计时计时器 • 手风琴和手风琴滑块 • 音频播放器与播放列表 • 博客文章设计器 • 产品分类展示(WooCommerce专用) • 常见问题响应式插件 • 团队展示滑块

应对措施: 1. WordPress官方行动: - 2026年4月7日一次性关闭31款插件 - 强制更新至"无害化"版本(v2.6.9.1) - 但未清除已注入wp-config.php的恶意代码

  1. 安全建议:
  • 立即检查是否安装上述插件
  • 彻底删除wpos-analytics模块
  • 核查wp-config.php文件大小(正常约3.3KB,被注入后约9.5KB)
  • 可使用作者提供的已修复版本(附下载链接)

行业警示: 这是继2017年Display Widgets事件后最严重的插件供应链攻击,暴露出WordPress插件市场存在的监管漏洞: - 缺乏插件所有权变更审查机制 - 新维护者提交代码无需额外审核 - 用户无法获知插件控制权变更通知

(注:文中所有技术细节已进行非专业术语转化,时间线保持原貌,删除重复列举的插件名称和具体代码示例)

评论总结

以下是评论内容的总结,涵盖主要观点和关键引用:

  1. 关于代码审核与供应链安全

    • 观点:建议使用LLM审核代码库,每次提交支付1美元用于扫描成本。
      • 引用:"The idea is the $1 goes towards the tokens required to scan the source code by an LLM" (saltyoldman)
    • 观点:现代项目依赖过多第三方库,存在供应链攻击风险。
      • 引用:"There is zero chance that they have checked those libraries for supply chain attacks" (bradley13)

  2. 关于去中心化包管理

    • 观点:FAIR包管理器的去中心化架构可缓解供应链攻击。
      • 引用:"FAIR has a very interesting architecture...that has the potential to mitigate some of the supply-chain attacks" (spankalee)
    • 观点:建议采用去中心化网络和加密货币支付系统。
      • 引用:"Making the substrate completely autonomous and secure by default" (EGreg)

  3. 关于WordPress插件安全问题

    • 观点:WordPress插件生态系统存在严重安全风险。
      • 引用:"Buying out an established plugin with a large install base is a clever approach" (toniantunovi)
    • 观点:插件更新通知隐含信任信号,需要更透明的签名系统。
      • 引用:"Users see 'update available' and click without questioning" (toniantunovi)

  4. 关于安全威胁的优先级

    • 观点:加密货币而非AI是当前最大的安全威胁。
      • 引用:"They've turned the cottage industry of malicious hacking into a multi-billion-dollar enterprise" (chromacity)
    • 观点:现有技术栈和治理结构已不适应新时代威胁。
      • 引用:"We've built our existing tech stacks...for a different era" (chromacity)

  5. 关于社区反应

    • 观点:批评Hacker News存在群体思维和盲目反对现象。
      • 引用:"I have encountered a lot of groupthink, brigading downvotes etc." (EGreg)
    • 观点:对Cloudflare的emdash项目表示乐观。
      • 引用:"Makes me even more bullish about emdash from cloudflare" (realty_geek)

总结反映了对代码安全、供应链攻击、去中心化解决方案和社区文化的多角度讨论,既有技术建议也有对现状的批评。