通過龐大的供應(yīng)鏈攻擊，黑客成功利用后門破壞了 93 個 WordPress 主題和插件，使其能夠完全訪問網(wǎng)站。黑客總共破壞了屬于 AccessPress 的 40 個主題和 53 個插件，AccessPress 是一家 WordPress 插件開發(fā)商，在超過 36 萬個活躍網(wǎng)站中使用。

Jetpack 的研究人員率先發(fā)現(xiàn)了這次攻擊，該公司是 WordPress 網(wǎng)站安全和優(yōu)化工具的創(chuàng)建者，他們發(fā)現(xiàn)主題和插件中被添加了一個 PHP 后門。Jetpack 認(rèn)為，一個外部威脅者攻破了 AccessPress 網(wǎng)站，破壞了該軟件并感染了更多的 WordPress 網(wǎng)站。

一旦管理員在他們的網(wǎng)站上安裝了被入侵的 AccessPress 產(chǎn)品，行為者就會在主主題目錄中添加一個新的“initial.php”文件，并將其納入主“function.php”文件。這個文件包含一個 base64 編碼的有效載荷，將 webshell 寫入“./wp-includes/vars.php”文件中。

惡意代碼通過解碼有效載荷并將其注入“vars.php”文件來完成后門的安裝，本質(zhì)上是讓威脅者對受感染網(wǎng)站進(jìn)行遠(yuǎn)程控制。檢測這種威脅的唯一方法是使用核心文件完整性監(jiān)控解決方案，因?yàn)閻阂廛浖h除“initial.php”文件的投放器以掩蓋其蹤跡。