聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
黑客正在利用 WordPress mu-plugins (“Must-Use Plugins”) 目录偷偷在每个页面上运行恶意代码,同时躲避检测。
这一技术由 Sucuri 公司的安全研究人员在2025年2月发现,但其采用率不断提高,目前威胁人员正在利用该文件夹运行三种不同类型的恶意代码。该公司的安全分析师 Puja Srivastava 解释称,“我们在mu-plugins 中看到如此多的感染情况,是因为攻击者正在积极攻击该目录,将其作为一个长久的立足点。”
恶意软件
Must-Use Plugins (mu-plugins) 是一种特殊类型的 WordPress 插件,无需在管理员仪表盘激活即可在每个页面加载上自动执行。
这些插件是存储在 “wp-content/mu-plugins/” 目录中的PHP 文件,当页面加载时会自动执行,而且除非勾选了 “Must-Use” 过滤器,否则不会列入常规的 “Plugins” 管理员页面。
Mu-plugins 的合法用例包括为自定义安全规则执行站内功能、性能更改以及动态修改变量或其它代码。然而,由于 MU-plugins 在每个页面加载上运行且不会出现在标准的插件列表中,因此可被偷偷用于执行大量恶意活动,如窃取凭据、注入恶意代码或修改HTML输出。
安全研究员发现了攻击者在 mu-plugins 目录中植入的三个payload,而它似乎是受经济利益驱动的操作的一部分。这三个payload 概述如下:
Redirect.php:将访客(不包括机器人和已登录的管理员)重定向到一个恶意网站 (updatesnow[.]net),通过虚假的浏览器更新提示诱骗访客下载恶意软件。
Index.php:该webshell 用作后门,提取并执行来自 GitHub 仓库的PHP代码。
Custom-js-loader.php:加载 JavaScript,通过露骨内容提权网站上的所有图像并劫持所有出站链接,打开可疑的弹跳窗口。
该webshell 案例尤其危险,因为它可导致攻击者在服务器上远程执行命令、窃取数据并对会员/访客发动下游攻击。其它两个 payload 也可造成损害,因为它通过可疑的重定向伤害了网站的信誉和SEO分数,并试图在访客计算机上安装恶意软件。
虽然安全研究员尚无法判断准确的感染路径,但认为攻击者利用了插件和主题上的已知漏洞或弱管理账户凭据。
建议 WordPress 网站管理员在插件和主题上应用安全更新,禁用或卸载不需要的插件和主题,并通过强有力的凭据和多因素认证机制保护权限账号。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
W3 Total Cache 插件漏洞导致100万WordPress站点遭暴露
12年来最严重的 WordPress 漏洞,可大规模接管管理员权限
WordPress 插件 Forminator 中存在严重漏洞,影响30多万站点
热门Wordpress 插件 LayerSlider 中存在严重漏洞
原文链接
https://www.bleepingcomputer.com/news/security/hackers-abuse-wordpress-mu-plugins-to-hide-malicious-code/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
