WordPress.org vient de fermer définitivement 31 extensions en une seule journée. Toutes appartenaient au même éditeur, Essential Plugin, racheté début 2025 sur une marketplace publique. Dans l'analyse publiée le 8 avril, Austin Ginder, fondateur d'Anchor Hosting, explique que l'attaque a été préparée huit mois en amont.
Les affaires ne s'arrangent pas pour WordPress. L'équipe fondatrice, du lot infecté, emmenée par Minesh Shah, Anoop Ranawat et Pratik Jain, avait bâti depuis 2015 un portefeuille de plus de 30 extensions gratuites sous la marque WP Online Support, rebaptisée Essential Plugin. Fin 2024, les revenus ont chuté de 35 à 45 %. Minesh Shah a mis l'ensemble en vente sur Flippa. Un acheteur enregistré sous le pseudonyme « Kris », avec un profil tourné vers le SEO, les cryptomonnaies et le marketing lié aux jeux d'argent en ligne, a acquis le tout pour un montant à six chiffres.
Flippa a publié une étude de cas sur la vente alors que la backdoor était déjà active
Flippa a publié une étude de cas sur la transaction en juillet 2025. Or, le premier commit SVN du nouvel acquéreur était la backdoor, glissée dans la version 2.6.7 publiée le 8 août 2025. La marketplace avait donc mis en avant une acquisition dont l'acheteur venait de planter un code malveillant dans la totalité du portefeuille. WordPress.org n'avait aucun système fiable pour signaler les extensions ayant changé de mains sans que les propriétaires de sites en soient informés et Flippa n'avait de son côté prévu aucun mécanisme de vérification des acheteurs ni de suivi post-cession. Le profil de « Kris », son positionnement dans les secteurs du gambling et des cryptos, tout cela était pourtant public sur la plateforme.
La note de version 2.6.7 mentionnait « Check compatibility with WordPress version 6.8.2 ». Ces 191 lignes de PHP supplémentaires contenaient une backdoor par désérialisation permettant l'exécution de code à distance. Le module a attendu huit mois sans se manifester, puis s'est activé les 5 et 6 avril derniers. Sur les sites touchés, le code injecté a ciblé wp-config.php et n'a diffusé son spam SEO qu'au robot d'indexation de Google, invisible pour les administrateurs qui naviguaient normalement sur leurs propres pages.
Le serveur de commande piloté par un smart contract Ethereum, indestructible par les moyens classiques
Pour résoudre son domaine de commande et contrôle, le malware interrogeait un smart contract Ethereum sur des points d'accès publics à la blockchain.
Un hébergeur peut couper un serveur, un registrar peut suspendre un domaine, mais un contrat déployé sur Ethereum est permanent et décentralisé.
L'attaquant pouvait rediriger le trafic vers un nouveau serveur en mettant à jour le contrat, sans qu'aucune suppression de domaine traditionnelle n'y change quoi que ce soit. C'est la première fois que cette technique a été documentée à cette échelle dans une attaque ciblant WordPress.
La mise à jour forcée vers la version 2.6.9.1, poussée par WordPress.org le 8 avril, a désactivé la fonction de rappel malveillante mais n'a pas nettoyé wp-config.php. Pour les sites compromis avant cette date, le spam SEO injecté restait actif dans le fichier de configuration.
C'est donc un coup dur supplémentaire pour la plateforme de création de sites Web qui qui fait tourner 43 % du web mondial, après la faille critique sur 60 000 sites, une campagne ClickFix qui avait compromis plus de 250 sites et l'exploitation active de Ninja Forms.
Source : TechSpot
