Peretas membeli 30 plugin WordPress dan menyisipkan backdoor, bersembunyi selama 8 bulan, menggunakan kontrak pintar Ethereum untuk mengakali pemblokiran berbasis domain

Pada Agustus 2025, seorang pembeli yang mengaku bernama “Kris” menyisipkan bom waktu di 191 baris kode; delapan bulan kemudian bom itu meledak, komunikasi C2 melewati pemblokiran. Artikel ini berasal dari laporan peneliti keamanan Austin Ginder.
(Info sebelumnya: BTC menembus 75 ribu dolar! ETH kembali ke 2400, Varz berujar negosiasi AS-Iran ada “banyak kemajuan”, sementara penjadwalan konsultasi kedua pada 16 hari)
(Tambahan latar belakang: Surat terbuka peringatan 13 tahun pendiri Gate, Dr. Han: dalam pergantian siklus, lepaskan kekuatan perubahan)

Daftar Isi Artikel

Toggle

• 191 baris, satu kalimat “pembaruan kompatibilitas”
• wp-config.php ditulis dengan 6KB kode berbahaya
• Ini bukan yang pertama, dan juga bukan yang terakhir
• Masalah kebijakan, bukan masalah teknis
• WordPress.org menutup lebih dari 30 plugin dalam satu hari

Tiga puluh plugin, masa laten delapan bulan, server C2 memperbarui secara dinamis melalui kontrak pintar Ethereum. Pada awal April 2026, WordPress.org menutup lebih dari 30 plugin dalam satu hari kerja tunggal, dengan total jumlah pemasangan mencapai jutaan. Dan yang lebih mengejutkan adalah, backdoor tersebut sudah aktif sejak 8 Agustus 2025, tepatnya 243 hari sebelum terdeteksi.

191 baris, satu kalimat “pembaruan kompatibilitas”

Putar kembali waktu ke 2015. Tim India WP Online Support (kemudian berganti nama menjadi Essential Plugin), didirikan oleh tiga orang termasuk Minesh Shah. Selama satu dekade, mereka mengumpulkan sebuah lini produk yang mencakup lebih dari 30 plugin. Hingga akhir 2024, pendapatan telah turun 35 hingga 45% dari puncaknya, dan tim memilih untuk mendaftarkan penjualan melalui Flippa.

Pembelinya adalah seseorang dengan latar belakang yang mencakup pemasaran SEO, mata uang kripto, dan perjudian online, dan secara eksternal mengaku sebagai “Kris”. Pada 8 Agustus 2025, versi 2.6.7 dirilis, dan changelog hanya menuliskan empat kata “pembaruan kompatibilitas”.

Perubahan nyatanya adalah: class-anylc-admin.php melebar dari baris 473 menjadi 664 baris, menambahkan kode backdoor sepanjang 191 baris. Ini adalah commit pertama Kris di SVN.

Backdoor tidak langsung dijalankan. Ia berdiam (sleep) hingga 5–6 April 2026, lalu mulai menjalankan fase pertama: modul wpos-analytics mengirim permintaan callback ke analytics.essentialplugin.com, mengunduh sebuah file bernama wp-comments-posts.php. File ini sengaja meniru wp-comments-post.php dari inti WordPress, hanya beda satu huruf.

wp-config.php ditulis dengan 6KB kode berbahaya

Pada 6 April 2026 pukul 04:22 UTC, injeksi kode dimulai; pukul 11:06 UTC, wp-config.php telah sepenuhnya ditulis pada situs korban di seluruh dunia. Dalam 6 jam 44 menit, tidak ada peringatan berlapis platform yang terpicu.

Kode berbahaya yang disuntikkan melakukan dua hal: pertama, menyisipkan tautan keluar spam, tetapi hanya menampilkan tautan tersebut untuk User-Agent milik Googlebot; halaman yang dilihat pengunjung biasa dan administrator situs sepenuhnya normal; kedua, membuka sebuah endpoint REST API tanpa autentikasi (permission_callback: __return_true), dipadukan dengan fungsi PHP fetch_ver_info(), sehingga membentuk jalur eksekusi jarak jauh untuk pemanggilan fungsi sewenang-wenang.

Namun detail desain yang paling layak dicatat bukanlah pada injeksinya sendiri, melainkan pada skema pengelakan infrastruktur C2: penyerang menuliskan logika resolusi untuk domain perintah ke dalam kontrak pintar Ethereum, dan backdoor kemudian mencari tujuan terbaru melalui node RPC di blockchain publik.

Blacklist keamanan siber tradisional untuk domain, serta pemblokiran DNS, sama sekali tidak berguna untuk arsitektur ini. Penyerang hanya perlu memperbarui kontrak; semua C2 dari situs-situs yang terinfeksi di seluruh dunia akan berpindah secara serentak, tanpa perlu menyentuh server yang dikendalikan.

Ini bukan yang pertama, dan juga bukan yang terakhir

Pada 2017, Daley Tias membeli plugin Display Widgets dengan volume instalasi 200 ribu seharga 15 ribu dolar, memasukkan tautan sampah bertema pinjaman, dan kemudian berdampak pada setidaknya 9 plugin lainnya. Setelah kejadian itu, WordPress.org tidak menerapkan mekanisme pemeriksaan wajib untuk perpindahan kepemilikan plugin; tidak memicu peninjauan tambahan manual atau otomatis saat komitter baru pertama kali mengirim; dan juga tidak mengirim notifikasi kepada pengguna instalasi yang ada tentang “plugin telah berpindah kepemilikan”.

Sembilan tahun berlalu, alurnya persis sama. Kris menyelesaikan akuisisi, memperoleh izin untuk commit SVN, dan commit pertamanya adalah backdoor—seluruhnya dilakukan dengan cara yang sesuai aturan.

Masalah kebijakan, bukan masalah teknis

Insiden ini tidak menggunakan kerentanan zero-day apa pun. Kualitas kode backdoor biasa-biasa saja; di 191 baris itu tidak ada teknik penyamaran yang canggih. Ia mampu bersembunyi selama 243 hari bukan karena kemampuan teknis, melainkan karena ketidakhadiran lengkap proses pada tahap perpindahan kepemilikan di marketplace plugin WordPress.org.

Mengurai nama domain C2 melalui kontrak pintar Ethereum memang menambahkan satu lapisan desain yang layak didiskusikan pada sisi arsitektur teknis serangan ini, tetapi itu hanya membuat pekerjaan pembersihan lebih rumit—bukan menjadi penyebab serangan dapat terjadi. Serangan dapat terjadi karena platform mengizinkan siapa pun membeli sebuah plugin, mendorong pembaruan, tanpa perlu menjelaskan kepada siapa pun apakah “pembaruan kompatibilitas” dalam changelog yang ditulis itu sebenarnya kompatibel dengan apa.

WordPress.org menutup lebih dari 30 plugin dalam satu hari

Pada 7 April 2026, tim plugin WordPress.org secara permanen menutup semua plugin milik penulis Essential Plugin. Minimal 30 plugin, semuanya ditutup pada hari yang sama. Berikut plugin yang dikonfirmasi oleh Austin Ginder:

• Accordion and Accordion Slider — accordion-and-accordion-slider
• Album and Image Gallery Plus Lightbox — album-and-image-gallery-plus-lightbox
• Audio Player with Playlist Ultimate — audio-player-with-playlist-ultimate
• Blog Designer for Post and Widget — blog-designer-for-post-and-widget
• Countdown Timer Ultimate — countdown-timer-ultimate
• Featured Post Creative — featured-post-creative
• Footer Mega Grid Columns — footer-mega-grid-columns
• Hero Banner Ultimate — hero-banner-ultimate
• HTML5 VideoGallery Plus Player — html5-videogallery-plus-player
• Meta Slider and Carousel with Lightbox — meta-slider-and-carousel-with-lightbox
• Popup Anything on Click — popup-anything-on-click
• Portfolio and Projects — portfolio-and-projects
• Post Category Image with Grid and Slider — post-category-image-with-grid-and-slider
• Post Grid and Filter Ultimate — post-grid-and-filter-ultimate
• Preloader for Website — preloader-for-website
• Product Categories Designs for WooCommerce — product-categories-designs-for-woocommerce
• Responsive WP FAQ with Category — sp-faq
• SlidersPack – All in One Image Sliders — sliderspack-all-in-one-image-sliders
• SP News And Widget — sp-news-and-widget
• Styles for WP PageNavi – Addon — styles-for-wp-pagenavi-addon
• Ticker Ultimate — ticker-ultimate
• Timeline and History Slider — timeline-and-history-slider
• Woo Product Slider and Carousel with Category — woo-product-slider-and-carousel-with-category
• WP Blog and Widgets — wp-blog-and-widgets
• WP Featured Content and Slider — wp-featured-content-and-slider
• WP Logo Showcase Responsive Slider and Carousel — wp-logo-showcase-responsive-slider-slider
• WP Responsive Recent Post Slider — wp-responsive-recent-post-slider
• WP Slick Slider and Image Carousel — wp-slick-slider-and-image-carousel
• WP Team Showcase and Slider — wp-team-showcase-and-slider
• WP Testimonial with Widget — wp-testimonial-with-widget
• WP Trending Post Slider and Widget — wp-trending-post-slider-and-widget