Hackers abuse WordPress MU-Plugins to hide malicious code
2025/03/31 BleepingComputer — WordPress の mu-plugins (Must-Use Plugins) ディレクトリを悪用するハッカーたちは、検出を回避しながら、すべてのページで悪意のコードを秘密裏に実行している。この攻撃の手法は、2025年2月に Sucuri のセキュリティ研究者により発見されたものである。その後も、この手法を採用する比率は上昇しており、いまのアクターたちは、このフォルダーを悪用することで、3種類の悪意のコードを実行している。
Sucuri のセキュリティ・アナリストである Puja Srivastava は、「mu-plugins 内で、きわめて多数の感染が確認されたてという事実は、攻撃者たちが、このディレクトリを永続的な足掛かりとして積極的に標的化していることを示唆する」と述べている。
Must-have マルウェア
Must-Use Plugins (mu-plugins) は、ページが読み込まれるたびに自動的に実行される、特別なタイプの WordPress プラグインであり、管理ダッシュボードでアクティブ化する必要はない。
この実体は、ページが読み込まれると自動的に実行される “wp-content/mu-plugins/” ディレクトリに保存される PHP ファイルであり、”Must-Use” フィルターがチェックされていない限り、通常の “Plugins” 管理ページには表示されない。
mu-plugins には、カスタム・セキュリティ・ルール/パフォーマンスの調整/変数やコードの動的な変更などを、サイト全体に適用するという正当な使用例がある。
ただし、MU-plugins はページが読み込まれるたびに実行され、標準のプラグイン・リストには表示されないため、資格情報の窃取/悪意のコード挿入/HTML 出力の変更など、さまざまな悪意のアクティビティを秘密裏に実行するために悪用できる。
Sucuri が発見したのは、攻撃者が mu-plugins ディレクトリに仕掛けている、3つのペイロードである。その目的は、金銭的なものだと思われる。
それらのペイロードは、以下のとおりである:
- redirect.php:訪問者 (ボットとログインした管理者を除く) を、悪意の Web サイト “updatesnow[.]net” へとリダイレクトし、偽のブラウザ更新プロンプトを表示して、マルウェアをダウンロードさせる。
- index.php:バックドアとして機能し、GitHub リポジトリから PHP コードを取得して実行する Webshell。
- custom-js-loader.php:サイト上の全ての画像を、露骨なコンテンツに置き換える JavaScript をロードし、すべてのアウトバウンド・リンクをハイジャックして、その代わりに怪しげなポップアップを開く。
Source: Sucuri
Webshell のケースでは、標的サーバ上で攻撃者がリモート・コマンドを実行し、データ窃取を達成し、メンバー/ビジターに対してダウンストリーム攻撃を開始できるため、特に危険である。
他の2つのペイロードも、怪しげなリダイレクトにより、サイトの評判と SEO スコアを損ない、さらには、訪問者のコンピューターへのマルウェア・インストールを試行するため、大きな損害が生じる可能性がある。
Sucuri は、正確な感染経路を特定していないが、攻撃者はプラグインおよびテーマの既知の脆弱性や、脆弱な管理者アカウントの認証情報を悪用していると推測している。
WordPress サイト管理者に対して強く推奨されるのは、プラグイン/テーマにセキュリティ・アップデートを適用し、不要なプラグイン/テーマの無効化/アンインストールを行い、さらには、強力な認証情報と多要素認証を用いて特権アカウントを保護することだ。
MU-Plugins の特性を巧みに利用した、非常に巧妙な攻撃ですね。毎度のことながら、攻撃者たちの鋭い着眼点には驚かされます。WordPress Codex にも「wp-admin のプラグインページのデフォルトのプラグイン・リストには表示されないが、 “必須プラグイン” セクションには表示される」と説明されていますが、そもそも MU-Plugins の存在自体を知らないというユーザーも、意外と多いのではないでしょうか。私も、その一人でした。幸い、本文中で緩和策が提示されています。よろしければ、WordPress で検索と併せて、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.