Sucuriは4月19日(米国時間)、「Massive Abuse of an Abandoned Eval PHP WordPress Plugin」において、「Eval PHP」と呼ばれる非常に古いWordPressプラグインが脅威者に悪用されているとして、注意を呼び掛けた。このプラグインの欠陥を悪し、PHPで設計されたバックドアを侵害されたWebサイトに挿入されていることが明らかとなった。
悪意のあるコードはwp_postsテーブル内にあるとされ、file_put_contents関数を使用して指定されたリモートコードを実行するバックドアを備えたPHPスクリプトを作成するよう設計されている。このコードにより、攻撃者が感染したページのいずれかにアクセスするだけで、バックドアを注入できるようになるという。
コードサンプル内にあるWordPressショートコード[evalphp]は、WordPress公式リポジトリで公開されているEval PHPプラグインに関連しているとみられている。10年以上更新されていないこのプラグインは、これまで長らくインストールされてこなかったが、2023年4月ごろかダウンロード数が急上昇したことが確認されている。
Sucuriは、この調査結果から2023年3月末から一部の攻撃者が侵害されたサイトにEval PHPプラグインをインストールし、バックドアの作成を始めたと分析している。また、WordPress公式リポジトリには、Eval PHP以外にも長年更新されていないプラグインが数多くあると指摘している。脅威者が信頼できるソースから更新されていないプラグインを使用し、サイバー攻撃を行っていると警告している。