【安全资讯】伪装成安全工具的WordPress插件注入后门

概要：

近期，一项针对WordPress网站的新恶意软件活动引起了广泛关注。攻击者利用伪装成安全工具的插件，诱骗用户安装并信任该插件，从而获取持久访问权限和远程代码执行能力。此事件不仅影响了网站的安全性，也对用户数据构成了严重威胁。

主要内容：

根据Wordfence研究人员的分析，这款恶意插件在用户的WordPress网站上悄然安装，且在插件仪表板中隐藏，避免被检测到。Wordfence在2025年1月底的清理过程中首次发现了该恶意软件，发现了一个被修改的'wp-cron.php'文件，该文件创建并自动激活名为'WP-antymalwary-bot.php'的恶意插件。其他相关插件名称包括：addons.php、wpconsole.php等。

一旦插件被删除，'wp-cron.php'会在下次访问时自动重新创建并激活该插件。Wordfence推测，感染可能是通过被攻陷的主机账户或FTP凭证进行的。尽管对攻击者的具体信息知之甚少，但研究人员指出，指挥与控制（C2）服务器位于塞浦路斯，并且与2024年6月的一次供应链攻击有相似之处。

该插件激活后，会进行自我状态检查，并立即通过'emergency_login_all_admins'函数为攻击者提供管理员访问权限。该函数利用GET参数允许攻击者获取管理员的登录信息。此外，插件还注册了一个未经身份验证的自定义REST API路由，允许插入任意PHP代码到所有活动主题的header.php文件中。网站所有者应仔细检查'wp-cron.php'和'header.php'文件，寻找意外的添加或修改，并关注访问日志中的可疑活动。