Škodlivý kód ukrytý do WordPress mu-plugins

Útočníci v rámci techník skrývania škodlivého kódu využívajú zložku mu-plugins, ktorú používajú stránky na platforme WordPress pre načítanie automaticky aktivovaných modulov.

Zraniteľné systémy:

  • Webové stránky na platforme WordPress

Opis činnosti:

Výskumníci spoločnosti Sucuri upozorňujú na trend, kedy útočníci zneužívajú zložku mu-plugins na ukrývanie škodlivého kódu. Táto zložka, ktorej názov je skratkou slov „must-use plugins“, slúži webovým stránkam na platforme WordPress ako zdroj automaticky aktivovaných modulov. Moduly nie sú zobrazované v administrátorskom rozhraní, teda zložka poskytuje lepšiu možnosť vyhnúť sa detekcii.

Spoločnosť pozorovala niekoľko odlišných prípadov infekcií. Jedným z nich bol škodlivý súbor „wp-index.php“, ktorý volal z URL obfuskovanej jednoduchou šifrou ROT13 ďalšie štádium infekcie, ktoré umožnilo útočníkovi trvalý prístup k infikovanej webstránke a vzdialené vykonávanie kódu PHP. V iných prípadoch útočníci infikovali zložku mu-plugin kódom pre presmerovanie na falošnú aktualizačnú stránku, zámenu obsahu webstránky (obrázky s explicitným obsahom a odkazy), či pre vytvorenie webshell-u.

Možné škody:

  • Vzdialené vykonávanie kódu
  • Eskalácia oprávnení
  • Nedostupnosť služby (DoS)
  • Získanie úplnej kontroly nad systémom

Odporúčania:

Vykonajte audit nainštalovaných modulov v prípade, že ste tak ešte nevykonali, aktualizujte ich na najnovšie verzie. Správne nastavte oprávnenia pre operácie so súbormi webstránky. Zakážte zmeny v súbore wp-config.php ( define('DISALLOW_FILE_EDIT', true); ).

Indikátory kompromitácie:

  • Škodlivý súbor a cesta: wp-content/mu-plugins/wp-index.php
  • ROT13-kódované URL: str_rot13(‘uggcf://1870l4ee4l3q1x757673d.klm/peba.cuc’)
  • Dekódovaná URL: hxxps://1870y4rr4y3d1k757673q[.]xyz/cron.php
  • Databázový kľúč: _hdra_core
  • Dočasná cesta k payloadu: .sess-[hash].php v zložke pre nahrávanie súborov
  • Skrytý používateľ s oprávneniami správcu: officialwp

Odkazy:

https://blog.sucuri.net/2025/07/uncovering-a-stealthy-wordpress-backdoor-in-mu-plugins.html

https://blog.sucuri.net/2025/03/hidden-malware-strikes-again-mu-plugins-under-attack.html