Популярный WordPress-плагин Gravity Forms стал жертвой серьезной атаки на цепочку поставок, в результате которой официальные установщики были заражены вредоносным кодом. Данный инцидент затронул около миллиона веб-сайтов, включая ресурсы таких крупных компаний, как Airbnb, Nike, ESPN, Unicef и Google, использующих этот премиум-плагин для создания онлайн-форм.
Обнаружение угрозы и технический анализ
Специалисты компании PatchStack первыми зафиксировали подозрительную активность, получив сообщения о странных запросах, генерируемых плагинами, загруженными с официального сайта Gravity Forms. Детальное исследование выявило присутствие вредоносного файла gravityforms/common.php, который инициировал POST-запросы к подозрительному домену gravityapi[.]org/sites.
Анализ показал, что зараженный плагин осуществлял масштабный сбор метаданных с пораженных сайтов, включая URL-адреса, пути к панели администрирования, информацию о темах, установленных плагинах и версиях PHP/WordPress. Все собранные данные незаконно передавались злоумышленникам через зашифрованные каналы связи.
Механизм работы бэкдора
В ответ на отправленные данные сервер хакеров возвращал вредоносный PHP-код в кодировке base64, который автоматически сохранялся как wp-includes/bookmark-canonical.php. Эта малварь маскировалась под легитимные WordPress Content Management Tools и предоставляла злоумышленникам возможность удаленного выполнения кода без необходимости аутентификации.
Бэкдор использовал специализированные функции handle_posts(), handle_media() и handle_widgets() для получения полного контроля над зараженными веб-сайтами. Более того, вредоносный код блокировал попытки обновления плагина и создавал скрытую учетную запись администратора, обеспечивая злоумышленникам постоянный доступ к скомпрометированным ресурсам.
Масштаб и временные рамки инцидента
Компания RocketGenius, разработчик Gravity Forms, подтвердила, что заражению подверглись только версии 2.9.11.1 и 2.9.12, доступные для ручной загрузки в период с 10 по 11 июля 2025 года. Важно отметить, что пользователи, устанавливавшие версию 2.9.11 через Composer в указанные даты, также получали зараженную копию плагина.
Служба Gravity API, отвечающая за лицензирование, автоматические обновления и установку дополнений, не подвергалась компрометации. Это означает, что автоматические обновления, управляемые данной службой, оставались безопасными на протяжении всего инцидента.
Рекомендации по устранению угрозы
Эксперты по кибербезопасности настоятельно рекомендуют всем администраторам, которые загружали Gravity Forms в указанный период, немедленно переустановить плагин, используя чистую версию с официального сайта. Дополнительно необходимо провести комплексную проверку веб-сайтов на наличие признаков заражения.
Следует особое внимание уделить поиску файла bookmark-canonical.php в директории wp-includes/, проверить список пользователей на наличие подозрительных учетных записей администраторов и проанализировать логи сервера на предмет необычной активности.
Данный инцидент демонстрирует критическую важность постоянного мониторинга безопасности веб-ресурсов и своевременного реагирования на потенциальные угрозы. Атаки на цепочку поставок становятся все более распространенными, требуя от администраторов повышенной бдительности при установке и обновлении программного обеспечения, даже из доверенных источников.
