WordPress Supply Chain Attack: 30+ Plugins Sold and Backdoored (Essential Plugin)

한국어 요약: 2026년 4월 14일, 대규모 워드프레스 공급망 공격 사례가 보고되었습니다. 'Essential Plugin'(구 WP Online Support)이 개발한 30개 이상의 플러그인이 새로운 소유주에게 매각된 후, 모든 플러그인에 RCE(원격 코드 실행)가 가능한 백도어가 심어졌습니다. 이 백도어는 약 8개월간 잠복하다가 최근 활성화되어 wp-config.php 파일을 변조하고 SEO 스팸을 유포하는 데 사용되었습니다. 현재 WordPress.org는 해당 플러그인들을 모두 폐쇄 조치했습니다.

주요 분석 내용

공격 대상: Countdown Timer Ultimate, Popup Anything on Click 등 31개의 Essential Plugin 계정 플러그인.
공격 방식: 플러그인 매각 후 첫 업데이트 시 unserialize()를 이용한 RCE 백도어 삽입.
피해 증상: wp-config.php 하단에 6KB 가량의 악성 코드 주입, 이더리움 스마트 컨트랙트를 이용한 C2 도메인 확인, Googlebot 대상 SEO 스팸 노출.
대응 방안: 해당 플러그인 삭제 또는 백도어 모듈(wpos-analytics)이 제거된 패치 버전 설치. wp-config.php 파일의 무결성 점검 필수.

日本語요약: 2026年4月14日の報告によると、WordPressプラグインの大規模なサプライチェーン攻撃が確認されました。「Essential Plugin」ブランドの30以上のプラグインが売却された直後、RCE（リモートコード実行）を可能にするバックドアが全プラグインに仕込まれました。このバックドアは8ヶ月間休止状態でしたが、最近になって活性化し、wp-config.phpの改ざんやSEOスパムの拡散に利用されています。現在、対象のプラグインは公式ディレクトリから削除されています。

主な技術ポイント

攻撃の手法: プラグインの新所有者が最初のコミットで PHP の unserialize() 関数を悪用したバックドアを挿入。
ステルス性: C2ドメインの解決にイーサリアムのスマートコントラクトを利用し、従来のドメイン停止措置を回避。
影響: 数十万以上のサイトがインジdントの対象となる可能性があり、wp-config.php に隠しコードが挿入されます。
対策: 対象プラグインの削除、または wpos-analytics モジュールを手動で削除するパッチ適用が必要です。

English Summary: On April 14, 2026, a massive supply chain attack was uncovered involving 30+ WordPress plugins managed by "Essential Plugin" (formerly WP Online Support). After the business was sold on Flippa, the new owner planted an RCE backdoor using PHP deserialization (unserialize()). This backdoor remained dormant for eight months before being weaponized to inject SEO spam directly into wp-config.php. WordPress.org has since permanently closed all 31 affected plugins.

Technical Snapshot

Affected Plugins: A portfolio of 31 plugins including Countdown Timer Ultimate and Popup Anything on Click.
Infection Vector: The attacker used a hidden wpos-analytics module to phone home and execute arbitrary code.
Evasion Tactics: The malware queries an Ethereum smart contract via public RPC endpoints to resolve its C2 domain, making traditional takedowns ineffective.
Action Required: Immediate removal of affected plugins or manual patching to strip the analytics module. Administrators must audit wp-config.php for a ~6KB malicious payload.

Links / References:

WordPress Supply Chain Attack: 30+ Plugins Sold and Backdoored (Essential Plugin)

주요 분석 내용

공격 대상: Countdown Timer Ultimate, Popup Anything on Click 등 31개의 Essential Plugin 계정 플러그인.

공격 방식: 플러그인 매각 후 첫 업데이트 시 unserialize()를 이용한 RCE 백도어 삽입.

피해 증상: wp-config.php 하단에 6KB 가량의 악성 코드 주입, 이더리움 스마트 컨트랙트를 이용한 C2 도메인 확인, Googlebot 대상 SEO 스팸 노출.

대응 방안: 해당 플러그인 삭제 또는 백도어 모듈(wpos-analytics)이 제거된 패치 버전 설치. wp-config.php 파일의 무결성 점검 필수.

主な技術ポイント

攻撃の手法: プラグインの新所有者が最初のコミットで PHP の unserialize() 関数を悪用したバックドアを挿入。

ステルス性: C2ドメインの解決にイーサリアムのスマートコントラクトを利用し、従来のドメイン停止措置を回避。

影響: 数十万以上のサイトがインジdントの対象となる可能性があり、wp-config.php に隠しコードが挿入されます。

対策: 対象プラグインの削除、または wpos-analytics モジュールを手動で削除するパッチ適用が必要です。

Technical Snapshot

Affected Plugins: A portfolio of 31 plugins including Countdown Timer Ultimate and Popup Anything on Click.

Infection Vector: The attacker used a hidden wpos-analytics module to phone home and execute arbitrary code.

Evasion Tactics: The malware queries an Ethereum smart contract via public RPC endpoints to resolve its C2 domain, making traditional takedowns ineffective.

Action Required: Immediate removal of affected plugins or manual patching to strip the analytics module. Administrators must audit wp-config.php for a ~6KB malicious payload.

Links / References:

WordPress Supply Chain Attack: 30+ Plugins Sold and Backdoored

WordPress Supply Chain Attack: 30+ Plugins Sold and Backdoored (Essential Plugin)

주요 분석 내용

主な技術ポイント

Technical Snapshot

Discussion (0)

Explore More Topics

WordPress Supply Chain Attack: 30+ Plugins Sold and Backdoored

WordPress Supply Chain Attack: 30+ Plugins Sold and Backdoored (Essential Plugin)

주요 분석 내용

主な技術ポイント

Technical Snapshot

Discussion (0)

Explore More Topics