Eine schwerwiegende Supply Chain Attacke hat das beliebte WordPress-Plugin Gravity Forms getroffen und dabei etwa eine Million Websites kompromittiert. Der Angriff betraf hochkarätige Unternehmen wie Airbnb, Nike, ESPN, Unicef und Google, die das Premium-Plugin für die Erstellung von Online-Formularen verwenden. Die Cyberkriminellen injizierten bösartigen Code direkt in die offiziellen Installationsdateien des Plugins.
Entdeckung der Bedrohung durch Sicherheitsexperten
Das Cybersecurity-Unternehmen PatchStack identifizierte als erstes die verdächtige Aktivität, nachdem Berichte über ungewöhnliche Netzwerkanfragen von offiziell heruntergeladenen Gravity Forms-Installationen eingingen. Die forensische Analyse offenbarte einen kompromittierten Dateipfad in gravityforms/common.php, der POST-Anfragen an die verdächtige Domain gravityapi[.]org/sites sendete.
Die Untersuchung ergab, dass die infizierte Plugin-Version systematisch Metadaten von betroffenen Websites sammelte. Dazu gehörten URL-Strukturen, Administrator-Panel-Pfade, Theme-Informationen, installierte Plugin-Listen sowie PHP- und WordPress-Versionsdetails. Diese sensiblen Daten wurden über verschlüsselte Kanäle an die Angreifer übertragen.
Technische Analyse des Backdoor-Mechanismus
Nach der Datenübertragung antwortete der Angreifer-Server mit base64-kodiertem PHP-Code, der automatisch als wp-includes/bookmark-canonical.php gespeichert wurde. Diese Malware tarnte sich als legitimes WordPress Content Management Tool und ermöglichte den Angreifern die Fernausführung von Code ohne Authentifizierung.
Der Backdoor implementierte spezialisierte Funktionen wie handle_posts(), handle_media() und handle_widgets(), um vollständige Kontrolle über kompromittierte Websites zu erlangen. Zusätzlich blockierte der schädliche Code Plugin-Updates und erstellte versteckte Administrator-Accounts, wodurch den Angreifern persistenter Zugang zu den betroffenen Systemen gewährt wurde.
Zeitrahmen und Umfang der Kompromittierung
RocketGenius, der Entwickler von Gravity Forms, bestätigte, dass ausschließlich die Versionen 2.9.11.1 und 2.9.12 betroffen waren, die zwischen dem 10. und 11. Juli 2025 zum manuellen Download verfügbar waren. Benutzer, die Version 2.9.11 über Composer in diesem Zeitraum installierten, erhielten ebenfalls die kompromittierte Plugin-Version.
Die Gravity API-Infrastruktur, die für Lizenzierung, automatische Updates und Add-on-Installationen verantwortlich ist, blieb während des gesamten Incidents sicher. Automatische Updates über diesen Service waren nicht von der Kompromittierung betroffen.
Sofortmaßnahmen und Bereinigungsempfehlungen
Sicherheitsexperten empfehlen allen Administratoren, die Gravity Forms im betroffenen Zeitraum heruntergeladen haben, eine sofortige Neuinstallation des Plugins mit einer sauberen Version von der offiziellen Website durchzuführen. Eine umfassende Sicherheitsüberprüfung der betroffenen Websites ist unerlässlich.
Zu den kritischen Prüfschritten gehören: Suche nach der Datei bookmark-canonical.php im wp-includes/-Verzeichnis, Überprüfung der Benutzerliste auf verdächtige Administrator-Accounts und Analyse der Server-Logs auf ungewöhnliche Aktivitäten. Zusätzlich sollten alle Passwörter geändert und Sicherheits-Plugins aktualisiert werden.
Dieser Vorfall unterstreicht die wachsende Bedrohung durch Supply Chain Attacken in der digitalen Landschaft. Website-Administratoren müssen erhöhte Wachsamkeit bei der Installation und Aktualisierung von Software walten lassen, selbst bei vertrauenswürdigen Quellen. Die Implementierung robuster Sicherheitsüberwachung und regelmäßiger Sicherheitsaudits wird zur kritischen Verteidigungslinie gegen solche sophistizierten Angriffe.
