惡意軟體佯裝資安工具入侵WordPress網站

WordPress資安公司Wordfence揭露一款偽裝成防惡意程式外掛的惡意軟體。該外掛名為WP-antymalwary-bot.php，實際上內含後門程式碼，可遠端執行指令並維持持久控制，並透過REST API與C2伺服器通訊，使攻擊者能操控受感染的網站。

該惡意軟體不僅具備多種功能，也刻意模仿正常外掛的結構，企圖降低開發者警覺。程式碼維持WordPress外掛常見的格式與風格，包括完整的說明註解、標準的語法縮排，甚至出現多語言內容，從表面上看起來就像是一般的合法外掛。

其核心後門機制，是透過WordPress初始化階段掛入一組特殊函式，監聽網址中的emergency_login參數，當訪客造訪網站並附帶特定明文密碼時，惡意程式會自動從資料庫中抓取第一筆具有管理員權限的使用者帳號，並直接設定登入Cookie，使攻擊者得以無需驗證程序進入網站後臺。由於這一過程完全繞過正常認證機制，且觸發條件單純，只需一組明文密碼與網址參數即可，讓攻擊者能長期隱密地維持控制權。

研究人員進一步分析發現，攻擊者藉由注入PHP程式碼至所有布景主題中的header.php，植入廣告腳本或建立重新導向邏輯，藉此引導網站訪客觀看第三方廣告、前往指定網站，或進一步接觸惡意內容。 此外，該外掛會將自己儲存在外掛目錄中，並修改wp-cron.php，於訪客造訪網站時自動重建與啟用惡意外掛，形成難以移除的持久性機制。在更新版本中，還觀察到攻擊程式透過WordPress內建定時任務機制，每分鐘向C2伺服器進行回報，傳送網站網址與時間戳記，便於攻擊者追蹤感染情況與維持控制。

Wordfence指出，此次觀察到的惡意外掛與2024年6月揭露的供應鏈攻擊案例，在程式撰寫風格與特徵上具有相似性，顯示攻擊者可能正採用人工智慧輔助生成惡意程式碼，進一步降低被辨識機率並提升迭代效率。該惡意程式還設計了Base64編碼廣告連結，與可由遠端指令更新內容機制，不僅模組化程度高，還具備後續動態調整與升級的彈性，研究人員認為該惡意程式碼並非僅一次性使用。