Tin tặc mua lại 30 plugin WordPress để cài cắm cửa hậu, ẩn nấp 8 tháng, dùng hợp đồng thông minh trên Ethereum để vượt qua lệnh phong tỏa tên miền

Tháng 8/2025, một người mua tự xưng là “Kris” đã cài bom hẹn giờ trong 191 dòng mã nguồn; 8 tháng sau thì kích hoạt, liên lạc C2 lách qua lệnh phong tỏa. Bài viết này xuất phát từ báo cáo của nhà nghiên cứu bảo mật Austin Ginder.
（Tóm tắt trước đó: BTC chạm 75.000 USD! ETH phục hồi lên 2400,范斯 cho biết đàm phán Mỹ–Iran có “nhiều tiến triển”, tạm chốt ngày 16 sẽ đàm phán lần hai）
（Bổ sung bối cảnh: Thư công khai kỷ niệm 13 năm của người sáng lập Gate, Dr. Han: trong giai đoạn chuyển giao chu kỳ, giải phóng sức mạnh mang tính thay đổi）

Mục lục bài viết

Toggle

• 191 dòng, một câu “cập nhật tương thích”
• wp-config.php bị ghi vào 6KB mã độc
• Đây không phải lần đầu, và cũng sẽ không phải lần cuối
• Vấn đề thuộc về thể chế, không phải vấn đề kỹ thuật
• Chỉ trong một ngày, WordPress.org đã đóng hơn 30 plugin

Ba mươi plugin, thời gian ẩn náu 8 tháng, máy chủ C2 cập nhật động thông qua các hợp đồng thông minh trên Ethereum. Đầu tháng 4/2026, WordPress.org đã tắt hơn 30 plugin trong đúng một ngày làm việc duy nhất, tổng số lượt cài đặt cộng lại đạt hàng triệu. Và điều còn gây sốc hơn là backdoor đã lên từ tận ngày 8/8/2025—cách thời điểm bị phát hiện 243 ngày.

191 dòng, một câu “cập nhật tương thích”

Đưa thời gian lùi về năm 2015. Nhóm tại Ấn Độ WP Online Support (sau đổi tên thành Essential Plugin), do Minesh Shah và hai người khác thành lập. Trong 10 năm, họ tích lũy được một dòng sản phẩm bao gồm hơn 30 plugin. Đến cuối năm 2024, doanh thu đã giảm 35 đến 45% so với đỉnh cao, và nhóm quyết định niêm yết trên Flippa để bán.

Người mua là một người có nền tảng trải dài qua marketing SEO, tiền mã hóa và cờ bạc trực tuyến, và bên ngoài tự xưng là “Kris”. Ngày 8/8/2025, phiên bản 2.6.7 được phát hành, changelog chỉ ghi đúng bốn chữ “cập nhật tương thích”.

Thay đổi thực tế là: class-anylc-admin.php từ 473 dòng mở rộng lên 664 dòng, thêm vào 191 dòng mã backdoor. Đây là commit đầu tiên của Kris trong SVN.

Backdoor không khởi động ngay lập tức. Nó “ngủ” cho đến ngày 5–6/4/2026, rồi mới bắt đầu giai đoạn một: mô-đun wpos-analytics gửi yêu cầu gọi lại tới analytics.essentialplugin.com, tải xuống một tệp được đặt tên là wp-comments-posts.php. Nó cố ý mô phỏng wp-comments-post.php của lõi WordPress, chỉ khác đi một chữ cái.

wp-config.php bị ghi vào 6KB mã độc

Vào lúc 04:22 UTC ngày 6/4/2026, mã tiêm bắt đầu chạy; đến 11:06 UTC cùng ngày, wp-config.php đã được ghi xong trên toàn cầu tại các trang web bị ảnh hưởng. Trong vòng 6 giờ 44 phút, không có bất kỳ cảnh báo nào ở lớp nền tảng được kích hoạt.

Mã độc được tiêm làm hai việc: thứ nhất, cấy các liên kết rác ra bên ngoài, nhưng chỉ hiển thị với User-Agent của Googlebot; những khách truy cập thông thường và quản trị viên trang web nhìn thấy trang hoàn toàn bình thường. Thứ hai, mở một endpoint REST API không yêu cầu xác thực (permission_callback: __return_true), kết hợp với hàm PHP giải tuần tự fetch_ver_info(), tạo ra một đường dẫn thực thi từ xa theo kiểu gọi hàm tùy ý.

Tuy nhiên, chi tiết thiết kế đáng ghi nhận nhất không nằm ở phần tiêm bản thân, mà ở cơ chế né tránh của hạ tầng C2: kẻ tấn công nhúng logic phân giải của tên miền chỉ huy vào trong các hợp đồng thông minh Ethereum; backdoor sau đó truy vấn điểm đến mới nhất thông qua các node RPC của blockchain công khai.

Các biện pháp phòng thủ an ninh mạng truyền thống như danh sách đen tên miền, chặn DNS đều hoàn toàn vô dụng đối với kiến trúc này. Chỉ cần cập nhật hợp đồng, toàn bộ C2 của các trang web bị nhiễm trên khắp thế giới sẽ chuyển đổi đồng bộ, không cần chạm đến bất kỳ máy chủ nào do kẻ tấn công kiểm soát.

Đây không phải lần đầu, và cũng sẽ không phải lần cuối

Năm 2017, Daley Tias mua plugin Display Widgets với 200.000 lượt cài đặt với giá 15.000 USD, nhúng các liên kết rác dạng “khoản vay” và sau đó lan sang ít nhất 9 plugin khác. Sau sự kiện đó, WordPress.org không đưa ra cơ chế kiểm tra bắt buộc khi chuyển quyền sở hữu plugin; không kích hoạt thêm bước kiểm tra thủ công hoặc tự động khi committer mới gửi lần đầu; và cũng không gửi thông báo cho người dùng đã cài đặt rằng “plugin đã được chuyển chủ”.

Chín năm trôi qua, quy trình vẫn y hệt. Kris hoàn tất việc mua lại, giành được quyền gửi commit SVN; commit đầu tiên chính là backdoor, và toàn bộ đều diễn ra đúng quy trình.

Vấn đề thuộc về thể chế, không phải vấn đề kỹ thuật

Sự cố này không hề sử dụng bất kỳ lỗ hổng zero-day nào. Chất lượng mã backdoor kém; trong 191 dòng không có bất kỳ kỹ thuật che giấu hay ngụy trang tinh vi nào. Nó có thể ẩn 243 ngày là nhờ không phải năng lực kỹ thuật, mà nhờ sự vắng mặt hoàn toàn của yếu tố kiểm soát trong bước chuyển nhượng quyền sở hữu của chợ plugin WordPress.org.

Giải mã tên miền C2 bằng hợp đồng thông minh Ethereum, đúng là khiến cuộc tấn công có thêm một lớp thiết kế đáng bàn ở góc độ kiến trúc kỹ thuật, nhưng chỉ làm cho việc dọn dẹp khó khăn hơn—không phải là nguyên nhân để cuộc tấn công có thể xảy ra. Cuộc tấn công có thể xảy ra vì nền tảng cho phép bất kỳ ai mua một plugin, đẩy bản cập nhật lên mà không cần giải thích với bất kỳ ai “cập nhật tương thích” trong changelog thực sự tương thích với cái gì.

WordPress.org đã đóng hơn 30 plugin chỉ trong một ngày

Ngày 7/4/2026, đội plugin của WordPress.org đã đóng vĩnh viễn toàn bộ plugin của tác giả Essential Plugin. Ít nhất 30 plugin, tất cả đều bị đóng trong cùng một ngày. Dưới đây là các plugin được Austin Ginder xác nhận:

• Accordion and Accordion Slider — accordion-and-accordion-slider
• Album and Image Gallery Plus Lightbox — album-and-image-gallery-plus-lightbox
• Audio Player with Playlist Ultimate — audio-player-with-playlist-ultimate
• Blog Designer for Post and Widget — blog-designer-for-post-and-widget
• Countdown Timer Ultimate — countdown-timer-ultimate
• Featured Post Creative — featured-post-creative
• Footer Mega Grid Columns — footer-mega-grid-columns
• Hero Banner Ultimate — hero-banner-ultimate
• HTML5 VideoGallery Plus Player — html5-videogallery-plus-player
• Meta Slider and Carousel with Lightbox — meta-slider-and-carousel-with-lightbox
• Popup Anything on Click — popup-anything-on-click
• Portfolio and Projects — portfolio-and-projects
• Post Category Image with Grid and Slider — post-category-image-with-grid-and-slider
• Post Grid and Filter Ultimate — post-grid-and-filter-ultimate
• Preloader for Website — preloader-for-website
• Product Categories Designs for WooCommerce — product-categories-designs-for-woocommerce
• Responsive WP FAQ with Category — sp-faq
• SlidersPack – All in One Image Sliders — sliderspack-all-in-one-image-sliders
• SP News And Widget — sp-news-and-widget
• Styles for WP PageNavi – Addon — styles-for-wp-pagenavi-addon
• Ticker Ultimate — ticker-ultimate
• Timeline and History Slider — timeline-and-history-slider
• Woo Product Slider and Carousel with Category — woo-product-slider-and-carousel-with-category
• WP Blog and Widgets — wp-blog-and-widgets
• WP Featured Content and Slider — wp-featured-content-and-slider
• WP Logo Showcase Responsive Slider and Carousel — wp-logo-showcase-responsive-slider-slider
• WP Responsive Recent Post Slider — wp-responsive-recent-post-slider
• WP Slick Slider and Image Carousel — wp-slick-slider-and-image-carousel
• WP Team Showcase and Slider — wp-team-showcase-and-slider
• WP Testimonial with Widget — wp-testimonial-with-widget
• WP Trending Post Slider and Widget — wp-trending-post-slider-and-widget