Популярный WordPress-плагин Gravity Forms пострадал в результате атаки на цепочку поставок.
В результате установщики с официального сайта оказались заражены бэкдором.
Gravity Forms — это премиум-плагин для создания контактных, платежных и прочих онлайн-форм. Согласно официальной статистике, он установлен примерно на миллионе сайтов, некоторые из которых принадлежат таким известным организациям, как Airbnb, Nike, ESPN, Unicef и Google.
Специалисты компании PatchStack
Изучив плагин, исследователи убедились, что с сайта производителя действительно загружается вредоносный файл (gravityforms/common.php). При ближайшем рассмотрении выяснилось, что этот файл инициирует POST-запрос к подозрительному домену по адресу gravityapi[.]org/sites.
В ответ от сервера хакеров приходит вредоносный PHP-код в кодировке base64, который сохраняется как wp-includes/bookmark-canonical.php. Эта малварь маскируется под WordPress Content Management Tools и позволяет удаленно выполнять код без необходимости аутентификации, используя такие функции, как handle_posts(), handle_media(), handle_widgets().
Компанию RocketGenius, разрабатывающую Gravity Forms, уведомили о проблеме, после чего ее представитель сообщил исследователям, что малварь проникла только в версии плагина для установки вручную и через Composer.
Эксперты рекомендуют всем, кто загрузил Gravity Forms 10-11 июля 2025 года, переустановить плагин, загрузив чистую версию. Кроме того, администраторам необходимо проверить свои сайты на наличие признаков заражения.
Представители RocketGenius уже опубликовали
По данным производителя, вредоносный код блокировал попытки обновления, связывался с внешним сервером для получения дополнительной полезной нагрузки и добавлял на сайт учетную запись администратора, которая давала злоумышленникам полный контроль над пострадавшим ресурсом.
В результате установщики с официального сайта оказались заражены бэкдором.
Gravity Forms — это премиум-плагин для создания контактных, платежных и прочих онлайн-форм. Согласно официальной статистике, он установлен примерно на миллионе сайтов, некоторые из которых принадлежат таким известным организациям, как Airbnb, Nike, ESPN, Unicef и Google.

Специалисты компании PatchStack
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, что получили сообщения о подозрительных запросах, генерируемых плагинами, загруженными с официального сайта Gravity Forms.Изучив плагин, исследователи убедились, что с сайта производителя действительно загружается вредоносный файл (gravityforms/common.php). При ближайшем рассмотрении выяснилось, что этот файл инициирует POST-запрос к подозрительному домену по адресу gravityapi[.]org/sites.
Как показал дальнейший анализ, плагин собирает с сайтов множество метаданных, включая URL, путь к панели администрирования, данные о темах, плагинах и версиях PHP/WordPress. Все собранные данные он передает злоумышленникам.
В ответ от сервера хакеров приходит вредоносный PHP-код в кодировке base64, который сохраняется как wp-includes/bookmark-canonical.php. Эта малварь маскируется под WordPress Content Management Tools и позволяет удаленно выполнять код без необходимости аутентификации, используя такие функции, как handle_posts(), handle_media(), handle_widgets().
Компанию RocketGenius, разрабатывающую Gravity Forms, уведомили о проблеме, после чего ее представитель сообщил исследователям, что малварь проникла только в версии плагина для установки вручную и через Composer.
Эксперты рекомендуют всем, кто загрузил Gravity Forms 10-11 июля 2025 года, переустановить плагин, загрузив чистую версию. Кроме того, администраторам необходимо проверить свои сайты на наличие признаков заражения.
Представители RocketGenius уже опубликовали
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, подтвердив, что заражению подверглись только версии Gravity Forms 2.9.11.1 и 2.9.12, доступные для ручной загрузки в период с 10 по 11 июля 2025 года. Также отмечается, что если пользователи запускали установку версии 2.9.11 через Composer в любую из упомянутых дат, они тоже получали зараженную копию плагина.«Служба Gravity API, которая занимается лицензированием, автоматическими обновлениями и установкой дополнений, инициируемых Gravity Forms, не подвергалась компрометации. Атака не затронула обновления пакетов, управляемые этой службой», — заявили разработчики.
По данным производителя, вредоносный код блокировал попытки обновления, связывался с внешним сервером для получения дополнительной полезной нагрузки и добавлял на сайт учетную запись администратора, которая давала злоумышленникам полный контроль над пострадавшим ресурсом.
Для просмотра ссылки необходимо нажать
Вход или Регистрация