피드로 돌아가기
InfoQInfoQ
Security

40만 설치 규모 플러그인 인수를 통한 Supply Chain 공격 및 Ethereum C2 기반 은닉

Attacker Bought 30 WordPress Plugins on Flippa and Backdoored All of Them

Steef-Jan Wiggers2026년 5월 6일4advanced

Context

신뢰 기반의 Maintainership 이전 구조를 악용한 Supply Chain 공격 사례임. 패키지 생태계 전반에 걸쳐 소유권 이전 시 코드 리뷰나 통지 절차 없이 Commit 권한이 승계되는 구조적 취약점이 존재함.

Technical Solution

  • PHP Deserialization Backdoor 주입을 통한 원격 코드 실행 구조 설계
  • permission_callback: __return_true 설정의 Unauthenticated REST API 엔드포인트 구축으로 접근 제어 우회
  • remote payload 기반의 함수명과 실행 컨텍스트를 동적으로 결정하는 Arbitrary Function Call 구현
  • Googlebot 전용 Cloaking 기술 적용을 통한 관리자 탐지 회피 및 SEO 스팸 주입
  • Ethereum Smart Contract를 이용한 Domain Resolution 기법으로 전통적인 Domain Takedown 무력화
  • wp-config.php 파일 내 PHP 코드 주입을 통한 영속성 유지 및 자동 업데이트 이후에도 동작하는 Persistence 확보

1. Dependency 버전 Pinning 적용 및 Blind Auto-update 중단

2. 패키지 Maintainer 변경 및 소유권 이전 이벤트 발생 시 차기 릴리즈 정밀 감사

3. '호환성 업데이트' 등 모호한 Changelog 항목에 대한 소스 코드 Diff 검증

4. Critical Dependency에 대한 Maintainer 평판 및 보안 거버넌스 확인

원문 읽기