5 月 1 日消息，科技媒體 bleepingcomputer 昨日(4 月 30 日)發(fā)布博文，報(bào)道了一種針對(duì) WordPress 網(wǎng)站的新型惡意軟件，偽裝成安全工具插件，誘導(dǎo)用戶下載并安裝。

　　Wordfence 研究團(tuán)隊(duì)警告稱，該惡意軟件能賦予攻擊者持續(xù)的訪問權(quán)限，允許他們執(zhí)行遠(yuǎn)程代碼并注入 JavaScript 腳本。更狡猾的是，它隱藏在插件儀表盤之外，讓用戶難以察覺其存在。

　　該惡意軟件一旦激活，立即通過“emergency_login_all_admins”功能為攻擊者提供管理員權(quán)限。攻擊者只需輸入明文密碼，即可獲取數(shù)據(jù)庫中首個(gè)管理員賬戶的控制權(quán)，登錄網(wǎng)站后臺(tái)。

　　Wordfence 團(tuán)隊(duì)在 2025 年 1 月末的一次網(wǎng)站清理中首次發(fā)現(xiàn)該惡意軟件。他們注意到“wp-cron.php”文件被篡改，用于創(chuàng)建并激活名為“WP-antymalwary-bot.php”的惡意插件。

　　IT之家援引博文介紹，此外該惡意軟件還會(huì)創(chuàng)建“addons.php”、“wpconsole.php”、“wp-performance-booster.php”和“scr.php”等惡意插件。

　　即使管理員刪除這些插件，“wp-cron.php”會(huì)在下一次網(wǎng)站訪問時(shí)自動(dòng)重新生成并激活它們。由于缺乏服務(wù)器日志，研究人員推測(cè)感染可能源于被盜的主機(jī)賬戶或 FTP 憑據(jù)。

　　該惡意插件不僅竊取管理員權(quán)限，還通過自定義 REST API 路由插入任意 PHP 代碼到網(wǎng)站的“header.php”文件中，清除插件緩存，并執(zhí)行其他命令。