피드로 돌아가기
누군가 워드프레스 플러그인 30개를 구매하고 그 모든 플러그인에 백도어를 심었음
GeekNewsGeekNews
Security

누군가 워드프레스 플러그인 30개를 구매하고 그 모든 플러그인에 백도어를 심었음

플러그인 31개 인수 및 Ethereum C2 기반 공급망 공격 사례

neo2026년 4월 14일12advanced

AI 요약

Context

WordPress 플러그인 생태계의 소유권 이전 시 코드 재검토 절차 부재를 악용한 공급망 공격 사례임. 신뢰도가 확보된 기존 플러그인을 매입하여 백도어를 삽입하고 8개월간 잠복시킨 뒤 활성화하는 고도로 설계된 공격 패턴을 보임.

Technical Solution

  • Ethereum 스마트 컨트랙트를 이용한 C2 도메인의 동적 관리로 일반적인 도메인 차단 무력화
  • @unserialize()와 원격 함수 실행 로직을 결합한 fetch_ver_info() 및 version_info_clean() 함수 설계
  • permission_callback: __return_true 설정을 통한 인증 없는 REST API 엔드포인트 생성으로 RCE 경로 확보
  • wpos-analytics 모듈을 통한 원격 PHP 파일 다운로드 및 wp-config.php 내 악성 코드 주입 자동화
  • Googlebot에만 선택적으로 노출되는 스팸 링크 및 리디렉션 로직 구현으로 탐지 회피

실천 포인트

1. 외부 패키지 의존성 최소화 및 가능하면 표준 라이브러리 우선 사용

2. Lockfile 도입을 통한 의존성 버전 고정 및 무분별한 자동 업데이트 지양

3. 핵심 설정 파일(wp-config.php 등)의 파일 크기 및 무결성 모니터링 구축

4. 신뢰 기반의 패키지 관리 대신 DID 기반의 분산형 검증 체계 검토

태그

#C2 Server#Supply Chain Attack#Backdoor#Ethereum Smart Contract#RCE
원문 읽기