這是一起典型的供應鏈攻擊 Supply Chain Attack。對於不熟悉這個詞的工程師來說,供應鏈攻擊是指攻擊者不直接攻擊目標網站,而是攻擊該網站所信任的軟體供應商。當開發者在官方管道發布更新時,攻擊者已經將惡意程式植入其中。這意味著使用者即便採取了正確的更新習慣,反而會主動將後門安裝到自己的伺服器上。
本次事件的核心在於 ShapedPlugin 的開發與發布流程被入侵。攻擊者篡改了其用於分發付費版本的 Easy Digital Downloads 基礎設施。需要注意的是,這次攻擊僅影響透過官方授權渠道更新的 Pro 付費版本,而發布在 WordPress.org 上的免費版本則未受影響。
受影響的外掛包括 Product Slider Pro for WooCommerce(3.5.4 之前版本)、Real Testimonials Pro(3.2.5 版本)以及 Smart Post Show Pro(4.0.2 之前版本)。其中 Product Slider Pro 的漏洞被賦予了 CVE-2026-49777 編號,其 CVSS 嚴重程度評分高達 10.0 滿分,代表極高風險。
惡意程式的運作流程與隱匿手段
這次攻擊的執行過程非常精巧,分為載入、安裝與隱藏三個階段。首先,受影響的外掛包含一個 Loader 載入器,每當管理員進入後台頁面時,該載入器就會被觸發,從遠端伺服器下載惡意 Payload 載荷。
一旦載荷被安裝,它會偽裝成一個合法的外掛進行啟動。為了避免被管理員發現,這個偽裝外掛會從 WordPress 的外掛列表中將自己隱藏起來。在完成初步安裝並向攻擊者伺服器回報受害者網域後,最初的載入器會自我刪除,以清除痕跡並增加資安調查的難度。
後門的功能與對系統的影響
這個隱形外掛具備極強的控制能力,主要威脅集中在以下三個方面。
首先是憑證竊取。它能以明文形式截獲管理員的登入帳號密碼,甚至能攔截兩步驟驗證 2FA 的驗證碼,讓傳統的加強驗證手段失效。
其次是持久化控制。攻擊者建立了一個自定義的 REST endpoint(API 接口),只要提供特定的身份驗證令牌,就能夠對伺服器進行任意檔案寫入。這使得攻擊者可以隨時上傳 Web Shell,也就是一個允許他們在伺服器上遠端執行系統指令的後門介面,從而完全接管伺服器。
最後是敏感資料外洩。攻擊者利用一個名為 install-persistent.php 的檔案,一次性提取網站最核心的機密資訊,包括包含資料庫密碼與金鑰的 wp-config.php 檔案、所有管理員帳號、SMTP 郵件發送憑證,以及最近三個月的 WooCommerce 訂單詳細資料。在資料傳輸完成後,該檔案也會立即刪除。
實務上的應對與修復建議
面對這種深層次的供應鏈污染,單純地更新外掛可能不足以完全清除威脅,因為攻擊者可能已經建立了多重持久化路徑。
如果你的網站安裝了上述受影響版本,建議採取以下步驟。第一,立即重設所有管理員帳號的密碼。第二,撤銷並重新生成所有使用者的 2FA 秘密金鑰。第三,檢查管理員名單,確認是否有未經授權的新帳號被創建。第四,檢查郵件外掛的 SMTP 配置,確保發信憑證未被篡改。
這次事件提醒我們,即使是來自官方渠道的更新也可能帶有風險。在企業級環境中,建議對更新後的系統進行完整性校驗,並實施最小權限原則,限制 Web 伺服器對系統敏感檔案的寫入權限,以降低 Web Shell 被植入的風險。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。