新型恶意软件伪装成 WordPress 插件实施攻击​

安全研究人员发现一款伪装成合法WordPress插件的危险恶意软件变种。该恶意软件名为“WP-antymalwary-bot.php”，可让攻击者持久访问受感染网站、注入恶意代码，并能向网站访问者推送远程广告。

Wordfence威胁情报团队在2025年1月22日的常规网站清理中发现，该恶意软件模仿真实插件的结构，包含标准格式和元数据。但它具有多个特别危险的后门功能：紧急登录所有管理员（emergency_login_all_admins）功能允许攻击者使用GET请求和硬编码密码以管理员身份登录；执行管理员命令（execute_admin_command）功能通过REST API接收命令并无权限检查地执行，使攻击者能将PHP代码注入主题头部或清除插件缓存。

该插件最令人担忧的是自我复制特性。若被删除，它会通过修改后的wp-cron.php文件重新安装。该文件在网站被访问时运行，成为隐秘的再感染渠道：将恶意插件重新写入系统并自动激活。

恶意软件每分钟都会与位于塞浦路斯的命令与控制（C2）服务器通信，发送受感染网站的URL和时间戳。这种利用WordPress内置调度器的报告功能属于非常规策略，用于维护被入侵网站的数据库。

根据Wordfence，WP-antymalwary-bot.php的主要感染迹象包括：

• 包含check_plugin或emergency_login的异常GET请求
• 被篡改的wp-cron.php文件
• 主题header.php文件中的代码注入
• 通过base64解码URL插入的JavaScript广告

近期变种显示其复杂程度提升，允许动态更新广告推送URL（部分实现仍不完整），表明该恶意软件正在积极开发中并可能持续改进。

为降低感染风险，网站管理员应：

• 定期审计已安装插件和主题
• 移除未使用或可疑文件
• 监控未经授权的修改
• 确保文件完整性
• 禁用直接文件编辑功能
• 使用强管理员凭证和多因素认证（MFA）
• 实施定期异地备份
• 部署可靠的安全插件或防火墙

消息来源： infosecurity-magazine；

本文由 HackerNews.cc 翻译整理，封面来源于网络；