**WordPressプラグインを標的としたサプライチェーンの侵害** 攻撃者は、80万以上のアクティブインストールを持つ人気のWordPressおよびJoomlaプラグインである「Smart Slider 3 Pro」のアップデートメカニズムを乗っ取ることに成功しました。WordPressセキュリティ企業である**Patchstack**によると、侵害されたバージョン3.5.1.35にはバックドアが含まれており、事実上、プラグインをリモートアクセスツールキットに変えていました。 **Patchstack**は、「不正な第三者がNextendのアップデートインフラストラクチャにアクセスし、公式アップデートチャネルを通じて攻撃者が完全に作成したビルドを配布した」と報告しています。悪意のあるアップデートは、検出および削除されるまでの約6時間利用可能でした。 **バックドアの技術的詳細** トロイの木馬化されたアップデートは、攻撃者に以下のような広範な機能を提供しました。 * 不正な管理者アカウントの作成。 * HTTPヘッダーを介したシステムコマンドのリモート実行。 * 隠しリクエストパラメータを介した任意のPHPコードの実行。 **Patchstack**は、マルウェアの機能を次のように詳述しています。 * カスタムHTTPヘッダー（例：`X-Cache-Status`および`X-Cache-Key`）を介した事前認証済みリモートコード実行。 * 任意のPHPコードとOSコマンド実行を可能にするデュアル実行モードのバックドア。 * 正規の管理者から隠された隠し管理者アカウント（例：`wpsvc_a3f1`）の作成。 * オートロードが無効になっているカスタムWordPressオプションを使用した機密データの隠蔽。 * 必須プラグイン（`object-cache-helper.php`）、アクティブなテーマの`functions.php`ファイルへのコードの追加、およびWordPressの`wp-includes`ディレクトリへの`class-wp-locale-helper.php`という名前のファイルのドロップを含む、冗長な永続化メカニズム。 * コマンドアンドコントロール（C2）ドメイン`wpjs1[.]com`への機密情報のデータ流出。 **影響と緩和策** **Patchstack**は、攻撃の洗練度を強調しました。「マルウェアは複数のステージで動作し、各ステージは侵害されたサイトへの深く、永続的で、冗長なアクセスを保証するように設計されています。」 「Smart Slider 3」の無料版は影響を受けませんでした。Nextendはアップデートサーバーを停止し、悪意のあるバージョンを削除し、完全な調査を開始しました。 バージョン3.5.1.35をインストールしたユーザーは、直ちにバージョン3.5.1.36にアップデートし、以下のクリーンアップ手順を実行することが強く推奨されます。 * 不審な管理者アカウントがないか確認し、削除してください。 * インストールされている場合は、「Smart Slider 3 Pro」バージョン3.5.1.35を削除してください。 * プラグインのクリーンなバージョンを再インストールしてください。 * バックドアに関連するすべての永続化ファイルを削除してください。 * `wp_options`テーブルから悪意のあるWordPressオプションを削除してください：`_wpc_ak`、`_wpc_uid`、`_wpc_uinfo`、`_perf_toolkit_source`、および`wp_page_for_privacy_policy_cache`。 * `wp-config.php`ファイルをクリーンアップし、`define('WP_CACHE_SALT', '<token>');`が存在する場合は削除してください。 * `.htaccess`ファイルから`# WPCacheSalt <token>`という行を削除してください。 * 管理者およびWordPressデータベースユーザーのパスワードをリセットしてください。 * FTP/SSHおよびホスティングアカウントの認証情報を変更してください。 * ウェブサイトのログをレビューし、不正な変更や異常なPOSTリクエストがないか確認してください。 * 管理者の2要素認証（2FA）を有効にし、アップロードフォルダでのPHP実行を無効にしてください。 **サプライチェーン攻撃の示唆** **Patchstack**は、「このインシデントは、従来の境界防御を無意味にする、典型的なサプライチェーン侵害です...プラグインそのものがマルウェアなのです。」と結論付けています。