Acheter Cryptos
Payer en
USD
USD
Acheter & Vendre
Hot
Visa, MasterCard, SEPA et bien plus
P2P
0 Fees
Trading flexible, zéro frais
Gate Card
Payez partout avec vos cryptos
Marchés
Trader
Basique
Avancé
Futures
Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Earn
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
tag
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Square
Square
Découvrir la valeur en crypto
Live
moments live
Analyse en temps réel du marché des cryptomonnaies
Discussion
Discutez avec des traders de cryptomonnaies
Actualités
Ce qu'il se passe dans le monde de la crypto
flower_head
Plus
Promotions
AI
Autres
TradFi
WCTC S8
Récompenses

Des pirates ont acheté 30 extensions WordPress et y ont installé des portes dérobées, puis se sont cachés pendant 8 mois, en utilisant des contrats intelligents Ethereum pour contourner le blocage des domaines

動區BlockTempo
ethereum news
ETH1,11%
BTC0,7%

En août 2025, un acheteur se présentant sous le nom « Kris » a dissimulé une bombe à retardement dans 191 lignes de code ; huit mois plus tard, elle a explosé, et les communications C2 ont contourné le blocage. Cet article est tiré d’un rapport de l’expert en sécurité Austin Ginder.
(Contexte : Impact de BTC : 75 000 $ ! ETH en reprise à 2400, Farms dit qu’il y a eu « de nombreux progrès » dans les négociations entre les États-Unis et l’Iran, deuxième session de négociations prévue pour le 16)
(Complément de contexte : Lettre publique du fondateur de Gate, Dr. Han, pour son 13e anniversaire : libérer la force du changement lors du passage de cycle)

Table des matières

Toggle

  • 191 lignes, une phrase « mise à jour de compatibilité »
  • wp-config.php a été injecté avec 6 Ko de code malveillant
  • Ce n’est pas la première fois, et ce ne sera pas la dernière
  • Un problème de procédure, pas un problème technique
  • WordPress.org a fermé plus de 30 extensions en une seule journée

Trente extensions, une période de latence de huit mois, et serveurs C2 mis à jour dynamiquement via des contrats intelligents Ethereum. Début avril 2026, WordPress.org a désactivé plus de 30 extensions en une seule journée de travail, pour un total d’installations se chiffrant à des millions. Et ce qui est encore plus sidérant, c’est que la porte dérobée était déjà en ligne dès le 8 août 2025, soit 243 jours avant sa découverte.

191 lignes, une phrase « mise à jour de compatibilité »

On remonte dans le temps jusqu’en 2015. L’équipe indienne de WP Online Support (rebaptisée plus tard Essential Plugin) a été fondée par trois personnes, dont Minesh Shah. En dix ans, elle a constitué une gamme de produits couvrant plus de 30 extensions. Fin 2024, les revenus avaient chuté de 35 à 45 % par rapport à leur pic, et l’équipe a choisi de mettre l’entreprise en vente sur Flippa.

L’acheteur est une personne dont le parcours s’étend au marketing SEO, à la crypto-monnaie et au marketing de jeux en ligne, qui se présente à l’extérieur sous le nom de « Kris ». Le 8 août 2025, la version 2.6.7 a été publiée, et le changelog ne mentionnait que ces quatre mots : « mise à jour de compatibilité ».

Le changement réel est le suivant : le fichier class-anylc-admin.php est passé de la ligne 473 à la ligne 664, avec l’ajout de 191 lignes de code de porte dérobée. C’est le premier commit de Kris sur SVN.

La porte dérobée n’a pas été activée immédiatement. Elle est restée en sommeil jusqu’au 5–6 avril 2026, puis a commencé la première phase : le module wpos-analytics envoie une requête de rappel à analytics.essentialplugin.com, téléchargeant un fichier nommé wp-comments-posts.php. Il imite volontairement wp-comments-post.php, celui du cœur WordPress, avec une lettre en moins.

wp-config.php injecté avec 6 Ko de code malveillant

Le 6 avril 2026 à 04:22 UTC, l’injection a démarré ; à 11:06 UTC, wp-config.php était déjà entièrement écrit sur les sites victimes du monde entier. En 6 heures et 44 minutes, aucune alerte au niveau des plateformes n’a été déclenchée.

Le code malveillant injecté fait deux choses : d’abord, il insère des liens sortants de spam, mais uniquement en fonction de l’agent utilisateur de Googlebot ; les pages vues par les visiteurs ordinaires et les administrateurs du site restent parfaitement normales. Ensuite, il ouvre un point de terminaison REST API non authentifié (permission_callback: __return_true), combiné avec une fonction PHP de désérialisation fetch_ver_info(), ce qui crée un chemin d’exécution à distance via appel de fonction arbitraire.

Cependant, le détail de conception le plus important à consigner ne se situe pas dans l’injection elle-même, mais dans la stratégie d’évitement de l’infrastructure C2 : les attaquants écrivent la logique de résolution des domaines de commande dans un contrat intelligent Ethereum ; la porte dérobée interroge alors les derniers points de destination via les nœuds RPC de la blockchain publique.

Les mécanismes classiques de cybersécurité comme les listes noires de domaines et le blocage DNS sont totalement inefficaces pour cette architecture. Les attaquants n’ont qu’à mettre à jour le contrat : le C2 de tous les sites infectés change de manière synchronisée, sans avoir besoin de toucher à aucun serveur contrôlé.

Ce n’est pas la première fois, et ce ne sera pas la dernière

En 2017, Daley Tias a acheté pour 15 000 dollars l’extension Display Widgets, avec 200 000 installations, et y a injecté des liens de spam de type prêt ; par la suite, l’incident a touché au moins 9 autres extensions. Après cet événement, WordPress.org n’a pas mis en place de mécanisme de vérification obligatoire pour le transfert de propriété des extensions ; il n’a pas non plus déclenché de contrôles manuels ou automatisés supplémentaires lors de la première soumission du nouveau committer ; et il n’a pas envoyé de notification aux utilisateurs existants installant l’extension, du type « l’extension a changé de propriétaire ».

Neuf ans plus tard, le processus était exactement le même. Kris a finalisé l’acquisition, a obtenu les droits de soumettre des commits SVN, et le premier commit était la porte dérobée : le tout, en conformité.

Un problème de procédure, pas un problème technique

Cet incident n’a utilisé aucune vulnérabilité zero-day. La qualité du code de la porte dérobée est médiocre ; dans les 191 lignes, il n’y a aucune technique d’obfuscation sophistiquée. Sa capacité à rester en sommeil pendant 243 jours ne repose pas sur des capacités techniques, mais sur l’absence complète, de la part de WordPress.org, de contrôles à l’occasion du changement de propriétaire dans le marketplace d’extensions.

L’analyse du domaine C2 via un contrat intelligent Ethereum ajoute bien une couche de conception qui mérite d’être discutée sur le plan technique, mais cela ne fait qu’augmenter la difficulté de suppression, sans être la cause qui a permis l’attaque. L’attaque a pu se produire parce que la plateforme autorise n’importe qui à acheter une extension, à pousser des mises à jour, sans avoir à expliquer à qui que ce soit en quoi « la mise à jour de compatibilité » du changelog est effectivement compatible avec quoi.

WordPress.org a désactivé plus de 30 extensions en une seule journée

Le 7 avril 2026, l’équipe des plugins de WordPress.org a désactivé définitivement toutes les extensions de l’auteur d’Essential Plugin. Au moins 30 plugins, tous fermés le même jour. Voici les extensions confirmées par Austin Ginder :

  • Accordion and Accordion Slider — accordion-and-accordion-slider
  • Album and Image Gallery Plus Lightbox — album-and-image-gallery-plus-lightbox
  • Audio Player with Playlist Ultimate — audio-player-with-playlist-ultimate
  • Blog Designer for Post and Widget — blog-designer-for-post-and-widget
  • Countdown Timer Ultimate — countdown-timer-ultimate
  • Featured Post Creative — featured-post-creative
  • Footer Mega Grid Columns — footer-mega-grid-columns
  • Hero Banner Ultimate — hero-banner-ultimate
  • HTML5 VideoGallery Plus Player — html5-videogallery-plus-player
  • Meta Slider and Carousel with Lightbox — meta-slider-and-carousel-with-lightbox
  • Popup Anything on Click — popup-anything-on-click
  • Portfolio and Projects — portfolio-and-projects
  • Post Category Image with Grid and Slider — post-category-image-with-grid-and-slider
  • Post Grid and Filter Ultimate — post-grid-and-filter-ultimate
  • Preloader for Website — preloader-for-website
  • Product Categories Designs for WooCommerce — product-categories-designs-for-woocommerce
  • Responsive WP FAQ with Category — sp-faq
  • SlidersPack – All in One Image Sliders — sliderspack-all-in-one-image-sliders
  • SP News And Widget — sp-news-and-widget
  • Styles for WP PageNavi – Addon — styles-for-wp-pagenavi-addon
  • Ticker Ultimate — ticker-ultimate
  • Timeline and History Slider — timeline-and-history-slider
  • Woo Product Slider and Carousel with Category — woo-product-slider-and-carousel-with-category
  • WP Blog and Widgets — wp-blog-and-widgets
  • WP Featured Content and Slider — wp-featured-content-and-slider
  • WP Logo Showcase Responsive Slider and Carousel — wp-logo-showcase-responsive-slider-slider
  • WP Responsive Recent Post Slider — wp-responsive-recent-post-slider
  • WP Slick Slider and Image Carousel — wp-slick-slider-and-image-carousel
  • WP Team Showcase and Slider — wp-team-showcase-and-slider
  • WP Testimonial with Widget — wp-testimonial-with-widget
  • WP Trending Post Slider and Widget — wp-trending-post-slider-and-widget

Afficher la source
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'avertissement.

Articles similaires

Accès au réseau de jetons Calastone pour 68 milliards de dollars, les fonds L&G prennent en charge le règlement le jour même

ethereum newsPartenariats & Écosystème

Gestion d’actifs Legal & General (L&G AM) annonce avoir construit un réseau de distribution tokenisé via Calastone, et avoir réussi à mettre en chaîne plus de 50 milliards de livres sterling de fonds monétaires, afin de prendre en charge le règlement T+0 et la cotation dans plusieurs devises. Ce déploiement repose sur Ethereum, et prévoit de s’étendre à davantage de blockchains à l’avenir, tout en garantissant la conformité au cadre réglementaire.

MarketWhisperIl y a 59m

Le membre de la Ethereum Foundation, Trent Van Epps, annonce son départ

ethereum news

Trent Van Epps a quitté la Fondation Ethereum après cinq ans, en exprimant sa gratitude pour la collaboration de son équipe sur les mises à niveau et le financement. Il continuera cependant à contribuer à Protocol Guild et à l’économie politique d’Ethereum.

GateNewsIl y a 1h

Matrixport : l’entité liée clôture une position Long 20x sur 25 000 ETH après 65 jours, réalisant un profit de 17,32 M$

ethereum news

Une entité liée à Matrixport a clôturé sa dernière position longue de 25 000 ETH, réalisant un gain de 17,32 millions de dollars après 65 jours. Auparavant, elle avait également réalisé 48,19 millions de dollars à partir des positions de 1 150 BTC et 95 000 ETH, avec un profit latent de 8,1 millions de dollars restant.

GateNewsIl y a 3h

Les intérêts ouverts des futurs Ethereum atteignent 25,4 Md$ alors que les institutions constituent des positions, mais les taux de financement des perpétuels signalent la prudence

ethereum newsFlux de capitauxDonnées sur les produits dérivésDonnées on-chain

Ethereum reste au-dessus de 2 300 $, avec un intérêt ouvert des contrats à terme en hausse et des entrées importantes d’ETF. Cependant, des taux de financement des contrats perpétuels faibles et une baisse des revenus des DApp indiquent un regain de prudence et une pression potentielle sur le prix dans un contexte de concurrence accrue.

GateNewsIl y a 4h

Un baleine parie 50 000 ETH sur Everstake, d’une valeur de plus de 116,97 M$

ethereum newsDonnées on-chain

Message des Gate News, 15 avril — Selon Onchain Lens, une grande baleine a mis en jeu 50 000 ETH sur Everstake, d’une valeur d’environ 116,97 millions de dollars.

GateNewsIl y a 12h

Les ETF Bitcoin, Ethereum et Solana enregistrent des entrées nettes positives le 15 avril

bitcoin newsethereum newssolana newsDonnées on-chainActions

Message d’actualités de Gate, selon la mise à jour du 15 avril, les ETF Bitcoin ont enregistré une entrée nette sur un jour de 4 566 BTC (environ 337,41 millions de dollars) et une entrée nette sur 7 jours de 6 753 BTC (environ 499,04 millions de dollars). Les ETF Ethereum ont enregistré une entrée nette sur un jour de 23 405 ETH (environ 54,37 millions de dollars)

GateNewsIl y a 14h
Commentaire
0/400
Aucun commentaire