Thought Leadership
Ein Unbekannter kaufte gezielt populäre WordPress-Plugins für hohe Summen auf, nur um Monate später bösartigen Code einzuschleusen. Durch den Einsatz von Ethereum-Smart-Contracts und gezielter Täuschung von Suchmaschinen blieb der Angriff lange unbemerkt.
Der Traum von der einfachen Website-Erweiterung per Mausklick hat für Hunderttausende WordPress-Nutzer einen herben Dämpfer erhalten. Das Vertrauen in das Plugin-Ökosystem des weltweit beliebtesten Content-Management-Systems wurde durch einen hochkomplexen Supply-Chain-Angriff massiv untergraben. Wie Cybernews berichtete, mussten über 30 populäre Erweiterungen vom offiziellen WordPress-Plugin-Team abgeschaltet werden, nachdem Sicherheitsexperten eine koordinierte Infiltration entdeckt hatten.
Die Entdeckung der schlafenden WordPress-Plugins
Die Lawine kam ins Rollen, als Austin Ginder, WordPress-Entwickler und Gründer von Anchor Hosting, Unregelmäßigkeiten in der Infrastruktur populärer Add-ons bemerkte. Den ersten handfesten Hinweis lieferte WordPress selbst, als das Team verkündete, dass das Plugin Countdown Timer Ultimate bösartigen Code enthielt, der es Dritten ermöglichte, die betroffenen Websites zu manipulieren. Ginder nahm diesen Vorfall zum Anlass, das gesamte Portfolio des Anbieters Essential Plugins genauer unter die Lupe zu nehmen.
Was er dabei zutage förderte, liest sich wie ein Krimi aus der digitalen Unterwelt. Es stellte sich heraus, dass eine Einzelperson namens Kris bereits vor acht Monaten damit begonnen hatte, gezielt Plugin-Rechte auf dem privaten Marktplatz Flippa aufzukaufen. Kris, der angab, einen Hintergrund in den Bereichen SEO, Online-Glücksspiel und Kryptowährungen zu haben, investierte dabei sechsstellige Summen, um die Kontrolle über etablierte Plugins zu erlangen.
Die Strategie des geduldigen Angreifers
Das Vorgehen des Akteurs war von außergewöhnlicher Geduld geprägt. Nach dem Kauf der WordPress-Plugins für mehrere hunderttausend Dollar blieb es zunächst ruhig. Die Nutzer erhielten weiterhin Updates, und an der Oberfläche schien alles normal. Doch im Hintergrund wurde das Fundament für einen massiven Missbrauch gelegt. Etwa acht Monate nach der Übernahme wurde laut Ginders Untersuchung hochspezialisierter Schadcode in die Plugins injiziert.
Dieser Code war darauf programmiert, Spam-Links, unerwünschte Weiterleitungen und gefälschte Seiten von einem zentralen Command-and-Control-Server abzurufen. Das Besondere an dieser Kampagne: Die bösartigen Aktivitäten waren für normale Besucher der betroffenen Websites vollkommen unsichtbar. Die Angreifer nutzten eine Technik namens Cloaking. Dabei wird der schädliche Inhalt ausschließlich dem Googlebot, also dem Crawler der Suchmaschine, präsentiert. Das Ziel dieser Masche ist es, das SEO-Ranking der kompromittierten Seiten auszunutzen, um Spam-Inhalte in den Suchergebnissen nach oben zu treiben, ohne dass die Website-Besitzer oder deren Kunden Verdacht schöpfen.
Ethereum als unzerstörbare Zentrale
Technisch sticht vor allem die Methode hervor, mit der die Angreifer ihre Infrastruktur absicherten. Anstatt eine einfache Domain für den Kontrollserver zu nutzen, die von Behörden oder Providern leicht abgeschaltet werden könnte, routete der Hintermann die Kommunikation über einen Ethereum-Smart-Contract.
Diese dezentrale Methode macht es fast unmöglich, den Angriff durch herkömmliche Domain-Takedowns zu stoppen. Da der Smart-Contract auf der Blockchain liegt, kann der Angreifer ihn jederzeit aktualisieren, um auf neue Server-Domains zu verweisen. Herkömmliche Sicherheitsinstanzen stoßen hier an ihre Grenzen, da sie keinen direkten Zugriff auf die Steuerung des Smart-Contracts haben. Ginder erklärte dazu, dass traditionelle Maßnahmen wirkungslos blieben, da der Angreifer die Kontrolle über den Datenfluss im Grunde in das dezentrale Netzwerk ausgelagert hat.
Weit über 400.000 Installationen betroffen
Das WordPress-Team hat konsequent reagiert und sämtliche Plugins des Anbieters Essential Plugins geschlossen. Betroffen sind Erweiterungen, die zusammengerechnet auf weit über 400.000 Installationen kommen. Die Liste der abgeschalteten Tools ist lang und umfasst unter anderem zahlreiche Design- und Marketing-Utilities, die von Bloggern und Medienhäusern weltweit genutzt werden.
Für die betroffenen Webmaster bedeutet dies akuten Handlungsbedarf. Da die Plugins nicht mehr im offiziellen Verzeichnis gelistet sind, werden sie keine Sicherheits-Updates mehr erhalten. Experten raten dazu, jedes Plugin, das mit dem Namen Essential Plugins oder dem Account von Kris in Verbindung steht, umgehend zu deaktivieren und durch vertrauenswürdige Alternativen zu ersetzen.
Dieser Vorfall zeigt, dass allein die Tatsache, dass ein Plugin seit Jahren etabliert ist und viele positive Bewertungen hat, kein Garant für dauerhafte Sicherheit ist. Wenn finanzstarke Akteure die Identität hinter den Plugins aufkaufen, können sie das über Jahre aufgebaute Vertrauen innerhalb weniger Tage als Waffe gegen die Nutzer einsetzen. Die Professionalität, mit der Kris hier agierte, legt nahe, dass wir es mit einer neuen Art von Supply-Chain-Angriffen zu tun haben, bei denen wirtschaftliches Kapital genutzt wird, um technische Hürden zu Fall zu bringen.
