Drama IT: Hacker mua 30 plugins WordPress để cài Backdoor

Chào anh em đồng đạo. Anh em nào đang làm web bằng "quốc thoại" WordPress thì tự sờ lên gáy xem có thấy lạnh lạnh không. Vừa có một pha úp sọt supply-chain (tấn công chuỗi cung ứng) kinh điển khiến giang hồ dậy sóng: Một thằng ất ơ nào đó đã ôm trọn 30 cái plugins xong tiện tay nhét backdoor vào tất cả để đi lùa gà.

Toàn cảnh pha úp sọt 30 plugins WordPress - Đọc xong toát mồ hôi hột

Anh em dev thường rỉ tai nhau rằng: "Đừng bao giờ tự code cái gì mà WP đã có plugin". Thế là các ông cứ thấy tiện là cài, cài lấy cài để. Nắm được thói quen này, kẻ tấn công đã làm một vố rất ma giáo:

Thay vì hì hục tìm bug hay dDoS máy chủ của nạn nhân, hacker chọn cách đi đường quyền bằng tiền: Mua lại 30 plugins WordPress. Đây đa phần là mấy plugin lặt vặt, owner cũ bỏ xó không bảo trì nhưng vẫn có hàng ngàn lượt install đang active.
Sau khi sang tên đổi chủ hợp pháp, gã pháp sư này thong thả đính kèm một đoạn mã độc (backdoor) cực kỳ tinh vi vào bản cập nhật mới.
Thế rồi chuyện gì đến cũng đến. Các admin ngây thơ thấy có thông báo update liền bấm nút "Update All" trong vô thức.
Bùm! Chúc mừng các ông đã rước trộm vào nhà. Backdoor này cho phép kẻ tấn công tạo admin ẩn, chèn link SEO rác, hoặc xài site của các ông làm trạm trung chuyển để dDoS người khác, che giấu tung tích xịn như xài Proxy cao cấp vậy.

Giang cư mận nói gì? Tế sống hay bái phục?

Ngay khi tin này nổ ra trên Hacker News, cộng đồng chia làm mấy phe rõ rệt, combat nảy lửa:

Phe hoảng loạn: Đang đêm bật dậy SSH vào server check lại toàn bộ thư mục wp-content/plugins xem có cái tên nào quen quen trong danh sách đen không. Báo cáo là nhiều anh em đã thấy server tự nhiên cắn RAM bất thường rồi đấy.
Phe chửi thề & đổ lỗi: Đa số anh em đều tế sống cái cơ chế chuyển nhượng plugin của WordPress. "Đ*o hiểu sao một cái nền tảng bự chà bá mà việc đổi chủ repo lại lỏng lẻo đến thế? Không có code review gắt gao khi đổi owner à?"
Phe "Bố mày biết ngay": Mấy lão quái anti-WP được dịp gáy to. "Bãi rác code", "Công nghệ thời tống", "Đó là lý do tôi thà code chay còn hơn xài WP".
Phe nể phục thủ đoạn: Một số vãn bối bái phục độ thực dụng của hacker. Bỏ ra vài ngàn đô mua repo rác, đổi lại được quyền truy cập root/admin của hàng vạn website. ROI (tỷ suất lợi nhuận) quả này cao hơn cả chơi coin cờ bạc.

Góc nhìn từ Coding4Food: Bài học sinh tồn giữa thời loạn lạc

Tóm cái váy lại, vụ này không phải lỗi do WordPress dở, mà do hệ sinh thái mã nguồn mở đang đối mặt với một vấn đề chung: Dev cạn đam mê. Làm plugin free cho cộng đồng mòn cả phím, lúc có người gõ cửa hỏi mua lại giá vài ngàn đô thì tội gì không bán? Bán xong thì thằng mua làm gì kệ m* nó chứ.

Bài học rút ra cho anh em thợ code:

Cai nghiện plugin đi: Cái gì tự xử lý được thì viết vài dòng vào functions.php. Đừng có cài plugin chỉ để... đổi màu cái nút button.
Audit cẩn thận: Nếu thấy một plugin mấy năm không update tự nhiên sống lại và ra ver mới liên tục, hãy cẩn thận. Rất có thể nó đã đổi chủ.
Bật cảnh giác: Supply chain attack đang là trend. Từ npm, PyPI đến WP, chỗ nào cũng có bẫy. Anh em làm dự án thật thì nhớ backup thường xuyên và thiết lập quyền file/folder tử tế.

Thôi, tôi đi check lại mấy cái web vệ tinh đây, nay thấy load chậm chậm nghi bị cài miner đào coin lắm rồi.

Nguồn hóng hớt: Hacker News

Toàn cảnh pha úp sọt 30 plugins WordPress - Đọc xong toát mồ hôi hột

Thay vì hì hục tìm bug hay dDoS máy chủ của nạn nhân, hacker chọn cách đi đường quyền bằng tiền: Mua lại 30 plugins WordPress. Đây đa phần là mấy plugin lặt vặt, owner cũ bỏ xó không bảo trì nhưng vẫn có hàng ngàn lượt install đang active.

Sau khi sang tên đổi chủ hợp pháp, gã pháp sư này thong thả đính kèm một đoạn mã độc (backdoor) cực kỳ tinh vi vào bản cập nhật mới.

Thế rồi chuyện gì đến cũng đến. Các admin ngây thơ thấy có thông báo update liền bấm nút "Update All" trong vô thức.

Bùm! Chúc mừng các ông đã rước trộm vào nhà. Backdoor này cho phép kẻ tấn công tạo admin ẩn, chèn link SEO rác, hoặc xài site của các ông làm trạm trung chuyển để dDoS người khác, che giấu tung tích xịn như xài Proxy cao cấp vậy.

Giang cư mận nói gì? Tế sống hay bái phục?

Ngay khi tin này nổ ra trên Hacker News, cộng đồng chia làm mấy phe rõ rệt, combat nảy lửa:

Phe hoảng loạn: Đang đêm bật dậy SSH vào server check lại toàn bộ thư mục wp-content/plugins xem có cái tên nào quen quen trong danh sách đen không. Báo cáo là nhiều anh em đã thấy server tự nhiên cắn RAM bất thường rồi đấy.

Phe chửi thề & đổ lỗi: Đa số anh em đều tế sống cái cơ chế chuyển nhượng plugin của WordPress. "Đ*o hiểu sao một cái nền tảng bự chà bá mà việc đổi chủ repo lại lỏng lẻo đến thế? Không có code review gắt gao khi đổi owner à?"

Phe "Bố mày biết ngay": Mấy lão quái anti-WP được dịp gáy to. "Bãi rác code", "Công nghệ thời tống", "Đó là lý do tôi thà code chay còn hơn xài WP".

Phe nể phục thủ đoạn: Một số vãn bối bái phục độ thực dụng của hacker. Bỏ ra vài ngàn đô mua repo rác, đổi lại được quyền truy cập root/admin của hàng vạn website. ROI (tỷ suất lợi nhuận) quả này cao hơn cả chơi coin cờ bạc.

Góc nhìn từ Coding4Food: Bài học sinh tồn giữa thời loạn lạc

Bài học rút ra cho anh em thợ code:

Cai nghiện plugin đi: Cái gì tự xử lý được thì viết vài dòng vào functions.php. Đừng có cài plugin chỉ để... đổi màu cái nút button.

Audit cẩn thận: Nếu thấy một plugin mấy năm không update tự nhiên sống lại và ra ver mới liên tục, hãy cẩn thận. Rất có thể nó đã đổi chủ.

Bật cảnh giác: Supply chain attack đang là trend. Từ npm, PyPI đến WP, chỗ nào cũng có bẫy. Anh em làm dự án thật thì nhớ backup thường xuyên và thiết lập quyền file/folder tử tế.

Thôi, tôi đi check lại mấy cái web vệ tinh đây, nay thấy load chậm chậm nghi bị cài miner đào coin lắm rồi.

Nguồn hóng hớt: Hacker News