Nguồn: Anchor.host
Tóm tắt
Một supply chain attack quy mô lớn đã được phát hiện trên WordPress ecosystem: một tác nhân xấu đã mua lại 30 WordPress plugins hợp lệ từ các developers ban đầu, sau đó inject backdoor code vào tất cả chúng trước khi publish updates. Các plugins này đã có user base sẵn có, nên backdoor nhanh chóng được distribute đến hàng nghìn websites.
Attack vector này đặc biệt nguy hiểm vì nó bypass các trust mechanisms thông thường: plugins đến từ các tài khoản developer có lịch sử tốt, vượt qua basic code review, và được install như “legitimate updates” bởi site owners. Đây là classic supply chain attack — tương tự như SolarWinds nhưng ở scale nhỏ hơn và targeting WordPress ecosystem.
Sự cố này nêu bật một vấn đề cấu trúc trong plugin marketplace: không có cơ chế mạnh để verify rằng owner mới của một plugin không inject malicious code. Các biện pháp được khuyến nghị bao gồm: pin plugin versions thay vì auto-update, review changelog kỹ trước khi update, và sử dụng file integrity monitoring để detect unexpected changes trong plugin files.