Nach den Angaben von Nextend blieb die schädliche Version (3.5.1.35 Pro) etwa sechs Stunden lang verfügbar, bevor sie erkannt und zurückgezogen wurde. Um den Vorfall einzudämmen, schaltete der Anbieter seine Update-Server ab, entfernte die manipulierte Version und leitete eine umfassende Untersuchung ein.

Das trojanisierte Update bringt nach der Analyse von Patchstack mehrere Schadfunktionen mit. Dazu gehört das Anlegen unautorisierter Administratorkonten ebenso wie das Einschleusen von Backdoors, die über HTTP-Header Systembefehle aus der Ferne ausführen und über versteckte Anfrageparameter beliebigen PHP-Code laufen lassen.

„Die Schadsoftware arbeitet in mehreren Stufen, von denen jede darauf ausgelegt ist, einen tiefen, dauerhaften und mehrfach abgesicherten Zugriff auf die kompromittierte Website zu gewährleisten", erklärte Patchstack. Statt einer einfachen Webshell habe der Angreifer ein mehrschichtiges Toolkit für dauerhaften Zugriff eingesetzt – mit mehreren voneinander unabhängigen, redundanten Wiedereinstiegspunkten, dem Verschleiern von Benutzerkonten, einer widerstandsfähigen Befehlsausführung mit Rückfallketten sowie einer automatischen Anmeldung bei einem Befehlsserver (C2) samt vollständigem Abgreifen der Zugangsdaten.

Nicht betroffen ist die kostenlose Version des WordPress-Plugins. Wer die trojanisierte Fassung installiert hat, sollte laut Nextend auf Version 3.5.1.36 aktualisieren; zusätzlich werden für betroffene Installationen Bereinigungsschritte empfohlen.

Patchstack ordnet den Fall grundsätzlich ein: „Dieser Vorfall ist eine klassische Kompromittierung der Lieferkette – die Art, die herkömmliche Verteidigung am Netzwerkrand bedeutungslos macht." Allgemeine Firewall-Regeln, die Prüfung von Nonces oder rollenbasierte Zugriffskontrollen griffen nicht, wenn der Schadcode über den vertrauenswürdigen Update-Kanal ausgeliefert werde. „Das Plugin ist die Schadsoftware", so die Firma.