แฮกเกอร์ซื้อปลั๊กอิน WordPress จำนวน 30 รายการเพื่อติดตั้งแบ็กดอร์ แอบซ่อนนาน 8 เดือน เพื่อใช้สัญญาอัจฉริยะของ Ethereum เลี่ยงการบล็อกโดเมน

2025 年 8 月，ผู้ซื้อที่อ้างตัวว่า “Kris” ฝังระเบิดจับเวลาไว้ในโค้ด 191 บรรทัด；8 เดือนต่อมาระเบิดขึ้น การสื่อสาร C2 หลบเลี่ยงการปิดกั้น บทความนี้มีที่มาจากรายงานของนักวิจัยด้านความปลอดภัย Austin Ginder
(ลำดับก่อนหน้า：BTC พุ่งกระทบ 75,000 ดอลลาร์! ETH ฟื้นกลับสู่ 2,400，Vance กล่าวว่าการเจรจาสหรัฐฯ-อิหร่านมี “ความคืบหน้าจำนวนมาก” ขณะนี้คาดการเจรจารอบสองในวันที่ 16）
(ข้อมูลเพิ่มเติมในเชิงบริบท：จดหมายเปิดของผู้ก่อตั้ง Gate ดร. Han ครบรอบ 13 สัปดาห์ที่ผ่านมา：ในช่วงที่วัฏจักรเปลี่ยนผ่าน ปล่อยพลังแห่งการเปลี่ยนแปลง)

สารบัญบทความ

สลับ

• 191 บรรทัด หนึ่งประโยค “การอัปเดตความเข้ากันได้”
• wp-config.php ถูกเขียนด้วยโค้ดร้าย 6KB
• นี่ไม่ใช่ครั้งแรก และจะไม่ใช่ครั้งสุดท้าย
• เป็นปัญหาด้านระบบ ไม่ใช่ปัญหาด้านเทคโนโลยี
• WordPress.org ปิดปลั๊กอินมากกว่า 30 ตัวภายในเวลาเพียงหนึ่งวัน

ปลั๊กอิน 30 ตัว ช่วงซ่อนตัว 8 เดือน เซิร์ฟเวอร์ C2 อัปเดตแบบไดนามิกผ่านสัญญาอัจฉริยะบน Ethereum ในช่วงต้นเดือนเมษายน 2026 WordPress.org ปิดปลั๊กอินมากกว่า 30 ตัวภายในวันทำงานวันเดียว โดยยอดติดตั้งรวมกันนับเป็นล้าน และสิ่งที่น่าตกใจยิ่งกว่าคือ แบ็กดอร์ขึ้นทำงานแล้วตั้งแต่วันที่ 8 สิงหาคม 2025 โดยห่างจากวันที่ถูกค้นพบถึง 243 วัน

191 บรรทัด หนึ่งประโยค “การอัปเดตความเข้ากันได้”

ย้อนไปเวลาในปี 2015

ทีมอินเดีย WP Online Support（เปลี่ยนชื่อภายหลังเป็น Essential Plugin）ก่อตั้งโดย Minesh Shah และอีกสองคน รวมสามคน ในช่วงทศวรรษต่อมาได้สะสมสายผลิตภัณฑ์ที่ครอบคลุมปลั๊กอินมากกว่า 30 ตัว จนถึงสิ้นปี 2024 รายได้ลดลง 35 ถึง 45% จากจุดสูงสุด และทีมเลือกนำไปจดขายบน Flippa

ผู้ซื้อเป็นคนที่มีพื้นฐานการทำการตลาดด้าน SEO การตลาดสกุลเงินดิจิทัล และการพนันออนไลน์ โดยแอบอ้างต่อสาธารณะว่า “Kris” เมื่อวันที่ 8 สิงหาคม 2025 เวอร์ชัน 2.6.7 เปิดตัว และใน changelog มีแค่คำว่า “การอัปเดตความเข้ากันได้” สี่คำ

สิ่งที่เปลี่ยนแปลงจริงคือ：ไฟล์ class-anylc-admin.php ขยายจาก 473 บรรทัดเป็น 664 บรรทัด โดยเพิ่มโค้ดแบ็กดอร์อีก 191 บรรทัด นี่คือ commit แรกของ Kris ใน SVN

แบ็กดอร์ไม่ได้เริ่มทำงานทันที มันเข้าสู่โหมดพักจนถึงวันที่ 5–6 เมษายน 2026 แล้วเริ่มเฟสแรก：โมดูล wpos-analytics ส่งคำขอเรียกกลับไปยัง analytics.essentialplugin.com เพื่อดาวน์โหลดไฟล์ที่มีชื่อว่า wp-comments-posts.php โดยตั้งใจเลียนแบบ wp-comments-post.php ของ WordPress core เพียงแค่ต่างออกไปหนึ่งตัวอักษร

wp-config.php ถูกเขียนด้วยโค้ดร้าย 6KB

วันที่ 6 เมษายน 2026 เวลา 04:22 UTC เริ่มการฉีด；เวลา 11:06 UTC wp-config.php ถูกเขียนให้เสร็จในเว็บไซต์ที่ถูกโจมตีทั่วโลก ภายใน 6 ชั่วโมง 44 นาที ไม่มีการเตือนภัยระดับแพลตฟอร์มใดถูกทริกเกอร์

โค้ดร้ายที่ฉีดทำสองอย่าง：อย่างแรก ฝังลิงก์ขยะที่เชื่อมออกไปยังภายนอก แต่จะแสดงเฉพาะกับ User-Agent ของ Googlebot เท่านั้น ส่วนหน้าเว็บที่ผู้เข้าชมทั่วไปและผู้ดูแลเว็บไซต์เห็นกลับปกติทั้งหมด；อย่างที่สอง เปิด endpoint REST API ที่ไม่มีการตั้งค่าการยืนยันตัวตน（permission_callback: __return_true）และใช้ฟังก์ชัน PHP แบบ fetch_ver_info() สำหรับการดีซีเรียลไลซ์ เพื่อสร้างเส้นทางการรันโค้ดระยะไกลแบบเรียกฟังก์ชันได้ตามอำเภอใจ

อย่างไรก็ตาม รายละเอียดการออกแบบที่ควรบันทึกไว้มากที่สุด ไม่ได้อยู่ที่การฉีดตัวมันเอง แต่เป็นวิธีเลี่ยงของโครงสร้างพื้นฐาน C2：ผู้โจมตีใส่ตรรกะการแปลงชื่อโดเมนของโดเมนสั่งการไว้ในสัญญาอัจฉริยะบน Ethereum และแบ็กดอร์จะค้นหาทิศทางล่าสุดผ่านโหนด RPC ของบล็อกเชนสาธารณะ

บัญชีดำโดเมนแบบเดิม หรือการบล็อก DNS สำหรับการตั้งค่านี้ใช้ไม่ได้โดยสิ้นเชิง ผู้โจมตีเพียงแค่ต้องอัปเดตสัญญา และ C2 ของเว็บไซต์ที่ถูกติดเชื้อทั่วโลกก็สลับไปพร้อมกัน โดยไม่จำเป็นต้องแตะเซิร์ฟเวอร์ที่ถูกควบคุมใดๆ

นี่ไม่ใช่ครั้งแรก และจะไม่ใช่ครั้งสุดท้าย

ในปี 2017 Daley Tias ซื้อปลั๊กอิน Display Widgets ที่มียอดติดตั้ง 200,000 ครั้ง ด้วยราคา 15,000 ดอลลาร์ โดยฝังลิงก์ขยะประเภทการปล่อยสินเชื่อ และเหตุการณ์ในครั้งนั้นส่งผลกระทบอย่างน้อยถึง 9 ปลั๊กอิน หลังจากเหตุการณ์นั้น WordPress.org ไม่ได้เปิดใช้กลไกการตรวจสอบภาคบังคับสำหรับการโอนกรรมสิทธิ์ของปลั๊กอิน；ไม่มีการทริกเกอร์การตรวจสอบเพิ่มเติมแบบแมนนวลหรืออัตโนมัติเมื่อ committer ใหม่ส่งครั้งแรก；และก็ไม่มีการส่งการแจ้งเตือนถึงผู้ใช้งานที่ติดตั้งอยู่เดิมว่า “ปลั๊กอินถูกโอนกรรมสิทธิ์แล้ว”

ผ่านมาเก้าปี กระบวนการยังเหมือนเดิมทุกอย่าง Kris ทำการซื้อกิจการสำเร็จ ได้สิทธิ์ในการส่ง SVN และ commit แรกก็คือแบ็กดอร์ โดยตลอดทั้งกระบวนการอยู่ในกรอบที่ถูกต้องตามระเบียบ

เป็นปัญหาด้านระบบ ไม่ใช่ปัญหาด้านเทคโนโลยี

เหตุการณ์นี้ไม่ได้ใช้ช่องโหว่ศูนย์วันใดๆ โค้ดแบ็กดอร์มีคุณภาพธรรมดา 191 บรรทัดไม่มีเทคนิคการสับเปลี่ยนหรือการทำให้ซับซ้อนอย่างประณีตเลย มันสามารถซ่อนอยู่ได้นาน 243 วัน ไม่ได้อาศัยความสามารถด้านเทคนิค แต่เป็นเพราะ WordPress.org Marketplace มีการขาดหายที่สมบูรณ์ในขั้นตอนการเปลี่ยนมือกรรมสิทธิ์

การใช้สัญญาอัจฉริยะบน Ethereum เพื่อแปลงชื่อโดเมน C2 ทำให้ออกแบบโจมตีมีชั้นที่ควรพูดถึงทางสถาปัตยกรรมจริง แต่เพียงทำให้การกำจัดยากขึ้น ไม่ใช่สาเหตุที่ทำให้การโจมตีเกิดขึ้นได้ สาเหตุที่ทำให้การโจมตีเกิดขึ้นคือ แพลตฟอร์มอนุญาตให้ใครก็ได้ซื้อปลั๊กอิน โยนการอัปเดต และไม่จำเป็นต้องอธิบายกับใครทั้งนั้นว่า “การอัปเดตความเข้ากันได้” ใน changelog นั้นเข้ากันได้กับอะไรบ้าง

WordPress.org ปิดปลั๊กอินมากกว่า 30 ตัวภายในเวลาเพียงหนึ่งวัน

วันที่ 7 เมษายน 2026 ทีมปลั๊กอินของ WordPress.org ปิดปลั๊กอินทั้งหมดของผู้เขียน Essential Plugin แบบถาวร อย่างน้อย 30 ปลั๊กอิน ทั้งหมดปิดในวันเดียวกัน ต่อไปนี้คือปลั๊กอินที่ Austin Ginder ยืนยัน：

• Accordion and Accordion Slider — accordion-and-accordion-slider
• Album and Image Gallery Plus Lightbox — album-and-image-gallery-plus-lightbox
• Audio Player with Playlist Ultimate — audio-player-with-playlist-ultimate
• Blog Designer for Post and Widget — blog-designer-for-post-and-widget
• Countdown Timer Ultimate — countdown-timer-ultimate
• Featured Post Creative — featured-post-creative
• Footer Mega Grid Columns — footer-mega-grid-columns
• Hero Banner Ultimate — hero-banner-ultimate
• HTML5 VideoGallery Plus Player — html5-videogallery-plus-player
• Meta Slider and Carousel with Lightbox — meta-slider-and-carousel-with-lightbox
• Popup Anything on Click — popup-anything-on-click
• Portfolio and Projects — portfolio-and-projects
• Post Category Image with Grid and Slider — post-category-image-with-grid-and-slider
• Post Grid and Filter Ultimate — post-grid-and-filter-ultimate
• Preloader for Website — preloader-for-website
• Product Categories Designs for WooCommerce — product-categories-designs-for-woocommerce
• Responsive WP FAQ with Category — sp-faq
• SlidersPack – All in One Image Sliders — sliderspack-all-in-one-image-sliders
• SP News And Widget — sp-news-and-widget
• Styles for WP PageNavi – Addon — styles-for-wp-pagenavi-addon
• Ticker Ultimate — ticker-ultimate
• Timeline and History Slider — timeline-and-history-slider
• Woo Product Slider and Carousel with Category — woo-product-slider-and-carousel-with-category
• WP Blog and Widgets — wp-blog-and-widgets
• WP Featured Content and Slider — wp-featured-content-and-slider
• WP Logo Showcase Responsive Slider and Carousel — wp-logo-showcase-responsive-slider-slider
• WP Responsive Recent Post Slider — wp-responsive-recent-post-slider
• WP Slick Slider and Image Carousel — wp-slick-slider-and-image-carousel
• WP Team Showcase and Slider — wp-team-showcase-and-slider
• WP Testimonial with Widget — wp-testimonial-with-widget
• WP Trending Post Slider and Widget — wp-trending-post-slider-and-widget