近日，開源網(wǎng)頁(yè)博客平臺(tái)WordPress遭遇重大安全危機(jī)，其官方插件庫(kù)中數(shù)十款熱門插件被緊急下架。經(jīng)調(diào)查發(fā)現(xiàn)，這些插件在易主后被植入隱蔽后門程序，攻擊者可通過(guò)該漏洞向所有使用相關(guān)插件的網(wǎng)站批量注入惡意代碼，引發(fā)全球用戶對(duì)開源軟件供應(yīng)鏈安全的廣泛擔(dān)憂。

網(wǎng)絡(luò)托管服務(wù)商Anchor Hosting創(chuàng)始人奧斯汀·金德在技術(shù)博客中披露，此次攻擊源于Essential Plugin開發(fā)商的股權(quán)變更。去年被新資本收購(gòu)后，該開發(fā)商旗下插件源代碼被植入休眠式后門程序，該漏洞在長(zhǎng)達(dá)數(shù)月時(shí)間內(nèi)未被激活，直至本月突然啟動(dòng)惡意代碼分發(fā)機(jī)制。據(jù)WordPress官方數(shù)據(jù)，受影響插件累計(jì)安裝量超過(guò)2萬(wàn)次，而Essential Plugin官網(wǎng)顯示其服務(wù)客戶數(shù)達(dá)1.5萬(wàn)，插件總下載量突破40萬(wàn)次。

安全專家指出，WordPress插件生態(tài)系統(tǒng)存在結(jié)構(gòu)性風(fēng)險(xiǎn)。作為全球最流行的網(wǎng)站建設(shè)框架，其插件市場(chǎng)允許開發(fā)者直接獲取網(wǎng)站管理權(quán)限，這種設(shè)計(jì)雖極大擴(kuò)展了平臺(tái)功能，卻也為惡意代碼植入提供了便利通道。更嚴(yán)峻的是，用戶無(wú)法通過(guò)官方渠道獲知插件所有權(quán)變更信息，導(dǎo)致新所有者可能通過(guò)代碼篡改實(shí)施定向攻擊。

此次事件并非孤立案例。金德特別強(qiáng)調(diào)，這已是近兩周內(nèi)第二起WordPress插件供應(yīng)鏈攻擊事件。安全研究機(jī)構(gòu)長(zhǎng)期警告，通過(guò)收購(gòu)合法軟件實(shí)施代碼篡改已成為黑客組織的重要戰(zhàn)術(shù)，此類攻擊可繞過(guò)傳統(tǒng)安全檢測(cè)機(jī)制，對(duì)全球數(shù)百萬(wàn)臺(tái)設(shè)備構(gòu)成威脅。目前被下架插件已標(biāo)注永久停用，但技術(shù)社區(qū)擔(dān)憂仍有部分網(wǎng)站未及時(shí)更新安全補(bǔ)丁。