Bezpečnost WordPress ekosystému znovu utrpěla – tentokrát ne klasickým hackem, ale promyšleným „nákupem důvěry“. Podle analýzy publikované na Anchor Hosting někdo skoupil desítky pluginů a následně do nich postupně nasadil škodlivý kód.

Útočník koupil pluginy a čekal měsíce

Incident popisuje scénář, kdy útočník zakoupil portfolio přibližně 30 WordPress pluginů (údajně za částku v řádu statisíců dolarů) a místo okamžitého útoku postupoval nenápadně.

Do pluginů nejprve přidal skrytá zadní vrátka (backdoor), která však zůstala neaktivní zhruba osm měsíců. Teprve poté došlo k jejich aktivaci, což výrazně ztížilo odhalení i zpětné dohledání změn.

WordPress zasáhl, desítky pluginů skončily

Na problém upozornil přímo WordPress tým – například u pluginu „Countdown Timer Ultimate“ varoval před kódem umožňujícím neoprávněný přístup.

Celkem bylo z oficiálního repozitáře odstraněno více než 30 pluginů, které byly tímto způsobem kompromitovány.

Supply chain útok v praxi

Nejde o klasické zneužití zranitelnosti, ale o tzv. supply chain attack – tedy útok na dodavatelský řetězec. Útočník jednoduše získal kontrolu nad legitimním softwarem a rozeslal škodlivé aktualizace běžnou cestou.

Právě tento přístup je podle expertů čím dál častější, protože:

• nevyžaduje hledání technických chyb
• zneužívá důvěru uživatelů i automatických aktualizací
• a může zasáhnout tisíce webů najednou

Problém: důvěra v open source

Celý případ ukazuje slabinu open-source ekosystému – změna vlastníka pluginu není prakticky regulovaná ani výrazně signalizovaná uživatelům.

Útočník tak může koupit „důvěryhodný“ projekt a zneužít jeho reputaci bez okamžitého podezření.

Zdroj: https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/