워드프레스(WordPress) 플러그인 공급망 공격, 30개 이상 플러그인에서 백도어 발견!

공격자는 플리파(Flippa)를 통해 워드프레스(WordPress) 플러그인 포트폴리오를 구매한 후, wp-config.php 파일에 악성 코드를 삽입했다. 특히, wp-comments-posts.php 파일을 위장하여 C2 서버로부터 스팸 링크, 리디렉션, 가짜 페이지를 가져와 SEO 스팸(SEO Spam)을 시도했다. 또한, 공격자는 이더리움(Ethereum) 스마트 컨트랙트(Smart Contract)를 통해 C2 도메인을 관리하여, 전통적인 도메인 차단 방식의 무력화를 시도했다.

공격자는 플리파(Flippa)를 통해 플러그인 포트폴리오를 구매한 후, 기존 플러그인에 백도어를 삽입했다. 이 과정에서 무단 접근(Unauthorized Access)을 가능하게 하는 코드를 추가하고, 8개월간 잠복하며 공격을 준비했다. 공급망 공격(Supply Chain Attack)의 전형적인 패턴으로, 기존 사용자의 신뢰를 악용하여 대규모 피해를 유발했다. 데이터 미저장 정책(Zero-Retention Policy)을 통해 공격 흔적을 숨기려 했다.

워드프레스(WordPress) 생태계는 플러그인 업데이트 알림을 신뢰 신호로 간주하는 경향이 있어, 공급망 공격에 취약하다는 지적이 제기되었다. 패키지 관리 시스템(Package Management System)의 보안 취약점과 플러그인 소유권 이전 시 검증 부재가 문제로 지적되었다. GDPR 규제 준수(GDPR Compliance)와 같은 보안 규정 준수 여부도 확인되지 않아, 사용자 데이터 유출 위험이 높다.

커뮤니티에서는 패키지 관리 시스템(Package Management System)의 보안 취약점을 지적하며, FAIR와 같은 분산형 패키지 관리 시스템의 필요성을 강조했다. 또한, LLM 기반의 코드 검증(Code Verification) 및 다중 서명(Multi-Signature)과 같은 보안 강화 방안을 제시했다. 데이터 격리 아키텍처(Data Isolation Architecture)를 통해 피해 범위를 최소화해야 한다는 의견도 제시되었다.