mu-Pluginsはディレクトリの名称です。
WordPressというブログやホームページを作成できる無料のコンテンツ管理システム(CMS)があります。
WordPressが動作するWebサーバでページが読み込まれるたびに自動的に実行される特別なタイプのWordPressプラグインがあるのですが、それがmu-Pluginsディレクトリに置かれているものとなっています。
通常はカスタムセキュリティルールのサイト全体の機能の適用、パフォーマンスの調整、変数やその他のコードの動的な変更などに使用されますが、この機能が攻撃に使用されてしまっています。
- redirect.php
訪問者(ボットとログインした管理者を除く)を悪意のあるWebサイト(updatesnow[.]net)にリダイレクトし、偽のブラウザ更新プロンプトを表示してマルウェアをダウンロードするように誘導します。 - index.php
これはバックドアとして機能し、GitHubリポジトリからPHPコードを取得して実行するWebshellです。
これによって、攻撃者は任意のコードを実行でき、サイトをほぼ完全に制御できるようになります。 - custom-js-loader.php
サイト上のすべての画像を露骨なコンテンツに置き換え、すべての外部リンクをハイジャックして、代わりに怪しいポップアップを開くJavaScriptを読み込みます。
これは、悪意のある行為者のSEOランキングを上げたり、詐欺を宣伝したりする目的である可能性があります。
mu-pluginsのmuは、Must-Useです。
このPATHに置かれたファイルは、管理ダッシュボードで管理者が有効化する必要はなく、ページが読み込まれるたびに自動的に実行される特別なタイプのWordPressプラグインとして動作します。
正常に利用される限り問題となりませんが、侵害された機器においてはここが格好のマルウェアの配置場所となってしまいます。
すでに見つかっているマルウェアの例のように、脅威アクターはこの機能を悪用して、資格情報の盗難、悪意のあるコードの挿入、HTML 出力の変更など、さまざまな悪意のあるアクティビティを密かに実行する可能性があります。
WordPressに限った話ではありませんが、タイムリーに更新プロセスを繰り返し、強力な認証情報と多要素認証を使用して特権アカウントを保護することが必要ですね。
Hidden Malware Strikes Again: Mu-Plugins Under Attack
https://blog.sucuri.net/2025/03/hidden-malware-strikes-again-mu-plugins-under-attack.html
| この記事をシェア |
|
|---|
