Разработчик WordPress-плагина Gravity Forms взломан. Плагин оснастили бэкдором

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
34.957
Репутация
13.280
Реакции
66.035
USD
0
Популярный WordPress-плагин Gravity Forms пострадал в результате атаки на цепочку поставок.

В результате установщики с официального сайта оказались заражены бэкдором.

Gravity Forms — это премиум-плагин для создания контактных, платежных и прочих онлайн-форм. Согласно официальной статистике, он установлен примерно на миллионе сайтов, некоторые из которых принадлежат таким известным организациям, как Airbnb, Nike, ESPN, Unicef и Google.

wordpress-581849_1920.jpg


Специалисты компании PatchStack , что получили сообщения о подозрительных запросах, генерируемых плагинами, загруженными с официального сайта Gravity Forms.

Изучив плагин, исследователи убедились, что с сайта производителя действительно загружается вредоносный файл (gravityforms/common.php). При ближайшем рассмотрении выяснилось, что этот файл инициирует POST-запрос к подозрительному домену по адресу gravityapi[.]org/sites.

Как показал дальнейший анализ, плагин собирает с сайтов множество метаданных, включая URL, путь к панели администрирования, данные о темах, плагинах и версиях PHP/WordPress. Все собранные данные он передает злоумышленникам.

В ответ от сервера хакеров приходит вредоносный PHP-код в кодировке base64, который сохраняется как wp-includes/bookmark-canonical.php. Эта малварь маскируется под WordPress Content Management Tools и позволяет удаленно выполнять код без необходимости аутентификации, используя такие функции, как handle_posts(), handle_media(), handle_widgets().

Компанию RocketGenius, разрабатывающую Gravity Forms, уведомили о проблеме, после чего ее представитель сообщил исследователям, что малварь проникла только в версии плагина для установки вручную и через Composer.

Эксперты рекомендуют всем, кто загрузил Gravity Forms 10-11 июля 2025 года, переустановить плагин, загрузив чистую версию. Кроме того, администраторам необходимо проверить свои сайты на наличие признаков заражения.

Представители RocketGenius уже опубликовали , подтвердив, что заражению подверглись только версии Gravity Forms 2.9.11.1 и 2.9.12, доступные для ручной загрузки в период с 10 по 11 июля 2025 года. Также отмечается, что если пользователи запускали установку версии 2.9.11 через Composer в любую из упомянутых дат, они тоже получали зараженную копию плагина.

«Служба Gravity API, которая занимается лицензированием, автоматическими обновлениями и установкой дополнений, инициируемых Gravity Forms, не подвергалась компрометации. Атака не затронула обновления пакетов, управляемые этой службой», — заявили разработчики.

По данным производителя, вредоносный код блокировал попытки обновления, связывался с внешним сервером для получения дополнительной полезной нагрузки и добавлял на сайт учетную запись администратора, которая давала злоумышленникам полный контроль над пострадавшим ресурсом.


 
  • Теги
    gravity forms wordpress wordpress-плагин
  • Назад
    Сверху Снизу