近年来使用WordPress架设而成的网站很多，此内容管理平台丰富的外挂程序，也成为骇客锁定的目标，但大多数事故是利用外挂程序的资安漏洞来攻击网站，如今有一起事故引起资安业者注意，因为骇客攻击开发外挂程序的软件公司得逞，从而在外挂程序植入恶意软件。

例如，由软件业者RocketGenius打造的表单外挂程序Gravity Forms，上週就出现这类资安事故。事件的揭露的过程，是有人在7月10日从官方网域gravityforms.com下载此外挂程序，却发现里面的gravityforms/common.php文件有问题，会向gravityapi.org网域发出恶意HTTP请求，通报此事的人士之所以察觉异状，是因为他们透过监控系统看到速度极为缓慢的请求。他们通报RocketGenius并未及时得到回应，于是找上了资安业者Patchstack寻求协助，才使得这起供应链攻击事故曝光。

对此，RocketGenius也在7月11日发布公告证实此事，并表示用户若是在7月9日至10日期间，透过他们的Gravity Forms帐号手动下载2.9.11.1或2.9.12版外挂程序，就有可能下载到有问题的文件。该公司也说明他们的因应措施，并提供用户检测网站的方法。

接获通报的Patchstack解析有问题的common.php文件，发现其中的特定功能会向https://gravityapi.org/sites发出POST请求。乍看之下，上述网域看起来不像是刻意拼写错误的恶意网域，但不寻常的是，这个网域刚在7月8日注册。

究竟此文件发出的HTTP请求又有那些不寻常之处？此请求会回传网站的系统资讯，包含网站的URL、WordPress版本、PHP版本等资料，而对于远端网站的回应，竟然是透过Base64演算法处理。Patchstack将回对的内容进行解密，攻击者疑似下载了冒充内容管理工具的作案工具，而有机会远端在网站执行任意程序码。

而对于作案工具包的用途，大多与WordPress的使用者帐号管理有关，其中最受到瞩目的部分，是能够建立具有管理员权限的使用者帐号，此外，攻击者还能列出使用者名单，或是删除帐号。再者，此工具包也能让攻击者上传任意文件，或是执行服务器上的任何文件、列出资料夹等工作。

针对此事，Patchstack通报多家大型主机代管业者，这些业者根据入侵指标（IOC）进行扫描，初步确认并未出现大规模感染恶意程序的现象。Patchstack推测，带有后门的外挂程序出现的时间相当短暂，仅向少量使用者散布。后续RocketGenius也介入调查此事，并向Patchstack表示，仅有手动下载与透过编辑器安装的用户会受到影响。网域注册商Namecheap也停用网域名称gravityapi.org，以遏止后门程序的灾情。