Σοβαρή απειλή για χιλιάδες ιστοσελίδες που βασίζονται στο WordPress αποκαλύπτει νέα έκθεση ειδικού: δεκάδες δημοφιλή πρόσθετα (plug-ins) παραβιάστηκαν και χρησιμοποιήθηκαν για την εγκατάσταση «κερκόπορτας» (backdoor), δίνοντας πλήρη πρόσβαση σε κακόβουλους χρήστες.
Σύμφωνα με τον Austin Ginder, ιδρυτή της Anchor Hosting, η υπόθεση ξεκίνησε όταν πελάτης του εντόπισε ότι ένα γνωστό πρόσθετο επέτρεπε αιφνιδιαστικά πρόσβαση σε τρίτους χωρίς εξουσιοδότηση.
Η έρευνα οδήγησε σε μια ανησυχητική διαπίστωση: στις αρχές του 2025, εταιρεία που είχε αναπτύξει συνολικά 31 πρόσθετα για το WordPress, δωρεάν και επί πληρωμή, πωλήθηκε σε άτομο που εμφανίζεται με το όνομα «Kris». Πρόκειται για την Essential Plugin.
Μετά την εξαγορά, προστέθηκε κακόβουλος κώδικας σε όλα τα πρόσθετα και διανεμήθηκε μέσω κανονικών ενημερώσεων προς τις ιστοσελίδες που τα χρησιμοποιούσαν, εκμεταλλευόμενος την εμπιστοσύνη των χρηστών στα ήδη εγκατεστημένα εργαλεία.
Ο κακόβουλος κώδικας λειτουργούσε ως backdoor, επιτρέποντας στον επιτιθέμενο να αποκτά πλήρη έλεγχο των ιστοσελίδων. Στόχος φαίνεται να ήταν η ενίσχυση υπαρχουσών καμπανιών spam με τρόπο που να μην γίνεται αντιληπτός από τους διαχειριστές.
Όπως εξηγεί ο Ginder, το λογισμικό:
Το πιο ανησυχητικό στοιχείο ήταν ο τρόπος επικοινωνίας με τον διακομιστή ελέγχου (C2). Αντί για συμβατικά domains, χρησιμοποιήθηκε το Ethereum, μέσω «έξυπνου συμβολαίου», επιτρέποντας στον επιτιθέμενο να αλλάζει δυναμικά τη διεύθυνση επικοινωνίας και να παρακάμπτει τα παραδοσιακά μέτρα απενεργοποίησης.
Η εταιρεία πίσω από τα πρόσθετα υποστηρίζει ότι τα προϊόντα της είχαν εκατοντάδες χιλιάδες εγκαταστάσεις, με ενεργή χρήση σε δεκάδες χιλιάδες ιστοσελίδες. Αυτό σημαίνει ότι η επίθεση ενδέχεται να επηρέασε μεγάλο αριθμό χρηστών παγκοσμίως.
Οι ειδικοί συνιστούν άμεσο έλεγχο των εγκατεστημένων plugins και αντικατάσταση όσων σχετίζονται με την υπόθεση, καθώς και εφαρμογή διορθωτικών ενεργειών για τον εντοπισμό και την απομάκρυνση κακόβουλου κώδικα.
Η συγκεκριμένη περίπτωση αναδεικνύει ένα νέο, πιο σύνθετο μοντέλο επιθέσεων: αντί για εκμετάλλευση ευπαθειών, οι δράστες αποκτούν τον έλεγχο της ίδιας της αλυσίδας διανομής λογισμικού, αξιοποιώντας την εμπιστοσύνη των χρηστών.
Περισσότερες ειδήσεις
Διαρροή-μαμούθ: Περισσότερα από 40 εκατ. email εκτεθειμένα – Εντός των «θυμάτων» εταιρείες και κρατικές υπηρεσίες
Χτύπημα στους servers του Notepad++: Χρήστες έπαιρναν «μολυσμένα» updates
