背景图片取自ElisaRiva、TheDigitalArtist on pixabay

WordPress资安公司Wordfence揭露一款伪装成防恶意程序外挂的恶意软件。该外挂名为WP-antymalwary-bot.php，实际上内含后门程序码，可远端执行指令并维持持久控制，并透过REST API与C2服务器通讯，使攻击者能操控受感染的网站。

该恶意软件不仅具备多种功能，也刻意模仿正常外挂的结构，企图降低开发者警觉。程序码维持WordPress外挂常见的格式与风格，包括完整的说明注解、标準的语法缩排，甚至出现多语言内容，从表面上看起来就像是一般的合法外挂。

其核心后门机制，是透过WordPress初始化阶段挂入一组特殊函式，监听网址中的emergency_login参数，当访客造访网站并附带特定明文密码时，恶意程序会自动从资料库中抓取第一笔具有管理员权限的使用者帐号，并直接设定登入Cookie，使攻击者得以无需验证程序进入网站后台。由于这一过程完全绕过正常认证机制，且触发条件单纯，只需一组明文密码与网址参数即可，让攻击者能长期隐密地维持控制权。

研究人员进一步分析发现，攻击者藉由注入PHP程序码至所有布景主题中的header.php，植入广告脚本或建立重新导向逻辑，藉此引导网站访客观看第三方广告、前往指定网站，或进一步接触恶意内容。 此外，该外挂会将自己储存在外挂目录中，并修改wp-cron.php，于访客造访网站时自动重建与启用恶意外挂，形成难以移除的持久性机制。在更新版本中，还观察到攻击程序透过WordPress内建定时任务机制，每分钟向C2服务器进行回报，传送网站网址与时间戳记，便于攻击者追蹤感染情况与维持控制。

Wordfence指出，此次观察到的恶意外挂与2024年6月揭露的供应链攻击案例，在程序撰写风格与特徵上具有相似性，显示攻击者可能正採用人工智慧辅助生成恶意程序码，进一步降低被辨识机率并提升迭代效率。该恶意程序还设计了Base64编码广告连结，与可由远端指令更新内容机制，不仅模组化程度高，还具备后续动态调整与升级的弹性，研究人员认为该恶意程序码并非仅一次性使用。