Hogyan kezdődött?
Ricky, az Improve & Grow munkatársa értesítést küldött, miután egy ügyfél WordPress adminisztrációs felületén biztonsági figyelmeztetést talált. A figyelmeztetés a WordPress.org Bővítmény Csapatától érkezett, és arra figyelmeztette, hogy a Countdown Timer Ultimate nevű bővítmény olyan kódot tartalmaz, amely illetéktelen harmadik féli hozzáférést tesz lehetővé.Hogyan működött a kártevő?
A bővítmény wpos-analytics modulja kapcsolatot vett fel az analytics.essentialplugin.com szerverrel, letöltött egy wp-comments-posts.php nevű backdoor fájlt (amelyet szándékosan a wp-comments-post.php WordPress-fájlra hasonlítottak), majd ezzel egy hatalmas PHP-kódblokkot injektált a wp-config.php fájlba. Az injektált kód spam linkeket, átirányításokat és hamis oldalakat töltött le egy vezérlő (C2) szerverről – de ezeket csak a Googlebot számára jelenítette meg, az oldaltulajdonosok előtt rejtve maradtak.A technika különlegesen ravasz volt: a C2 domain feloldását egy Ethereum okosszerződésen keresztül végezte, publikus blockchain RPC végpontokon keresztül lekérdezve – így a hagyományos domain-letiltás nem működött volna, mivel a támadó bármikor frissíthette az okosszerződést egy új domain megadásával.
A backdoor 8 hónapig szunnyadt
A bővítmény előzményeit 939 gyorsmentési pillanatkép alapján sikerült visszakövetni. A kártékony kód a 2.6.7-es verzióban jelent meg, amelyet 2025. augusztus 8-án adtak ki – a változásnapló szerint csak "kompatibilitás-ellenőrzés WordPress 6.8.2-vel", valójában azonban 191 sornyi kód lett hozzáadva, köztük egy PHP deszerializációs backdoorral.A három kulcselemből álló backdoor:
Egy fetch_ver_info() metódus, amely a támadó szerveréről tölt le adatot és átadja a @unserialize() függvénynek
Egy version_info_clean() metódus, amely távolról vezérelt függvénynevet és argumentumokat hajt végre
Egy hitelesítés nélküli REST API végpont (permission_callback: __return_true)
A backdoor 2026. április 5-6-án aktiválódott, miután 8 hónapig szunnyadt.
Az idővonal
2025. aug. 8. A 2.6.7-es verzióban integrálják a backdoort2025. aug. 30. Az essentialplugin.com WHOIS-a „Kim Schmidt"-re frissül (Zürich, ProtonMail)
2026. ápr. 5–6. A backdoor aktiválódik, kártékony tartalmak terjesztése indul
2026. ápr. 7. A WordPress.org egyetlen nap alatt bezárja mind a 25+ Essential Plugin bővítményt
2026. ápr. 8. Kényszerített automatikus frissítés a 2.6.9.1-es verzióra
Nem egyedi eset
2017-ben egy "Daley Tias" álnevet használó vásárló megvette a Display Widgets bővítményt (200 000 telepítés) 15 000 dollárért, és gyorskölcsön-spamet injektált bele – majd összesen legalább 9 bővítményt kompromittált ugyanígy. Az essentialplugin-eset ugyanez a forgatókönyv, csak nagyobb léptékben: 30+ bővítmény, több százezer aktív telepítés, egy 8 éves, megbízható vállalkozás, amelyet nyilvános piactéren (Flippa) vásároltak meg hat számjegyű összegért.A WordPress bővítmény-piac bizalmi problémája
A Flippa-hirdetés nyilvános volt, a vevő SEO- és szerencsejáték-marketing-háttere is nyilvános volt – mégis az akvizíció a WordPress.org részéről semmilyen felülvizsgálat nélkül ment át. Két ellátási lánc elleni támadás két hét alatt, mindkettő ugyanolyan módszerrel: megvesznek egy bővítményt a benne lévő WordPress.org commit-hozzáféréssel együtt, majd kártékony kódot injektálnak.Forrás: Austin Ginder – Anchor Hosting, 2026. április 8. — anchor.host