Hacker kaufte 30 WordPress-Plugins und installierte Hintertüren, lauerte 8 Monate lang und nutzte Ethereum-Smart-Contracts, um Domain-Sperren zu umgehen

Im August 2025 platzierte ein Käufer, der sich „Kris“ nennt, in 191 Zeilen Code eine Zeitbombe; acht Monate später ging sie hoch, und die C2-Kommunikation umging die Sperren. Dieser Text basiert auf einem Bericht des Sicherheitsforschers Austin Ginder.
(Vorgeschichte: BTC trifft auf 75.000 US-Dollar! ETH erholt sich auf 2400, Vans sagt, dass es bei den US-Iran-Verhandlungen „viel Fortschritt“ gebe, vorläufige zweite Verhandlung am 16.)
(Ergänzender Kontext: Gate-Gründer Dr. Han – öffentliche Geburtstagsbotschaft zum 13-jährigen Bestehen: In einem Zykluswechsel die Kraft freisetzen, die Veränderung bewirkt)

Inhaltsverzeichnis

Toggle

• 191 Zeilen, ein Satz „Kompatibilitäts-Update“
• wp-config.php wurde mit 6 KB Schadcode beschrieben
• Das ist nicht das erste Mal, und es wird auch nicht das letzte Mal sein
• Ein Problem der Regeln, nicht der Technik
• WordPress.org hat innerhalb eines Tages über 30 Plugins deaktiviert

Dreißig Plugins, eine achtmonatige Versteckzeit, C2-Server mit dynamischem Update über Ethereum-Smart-Contracts. Anfang April 2026 hat WordPress.org innerhalb eines einzelnen Arbeitstages über 30 Plugins abgeschaltet; die installierte Gesamtsumme liegt bei zusammen mehreren Millionen. Und noch erschreckender: Die Hintertür war bereits am 8. August 2025 online, 243 Tage bevor sie entdeckt wurde.

191 Zeilen, ein Satz „Kompatibilitäts-Update“

Die Zeit zurück bis ins Jahr 2015. Das indische Team WP Online Support (später in Essential Plugin umbenannt) wurde von Minesh Shah und zwei weiteren Personen gegründet. In den zehn Jahren entstand eine Produktlinie, die über 30 Plugins umfasst. Bis Ende 2024 war der Umsatz um 35 bis 45 % im Vergleich zum Hoch zurückgegangen, und das Team entschied sich, bei Flippa zum Verkauf gelistet zu werden.

Der Käufer ist jemand, dessen beruflicher Hintergrund sich über SEO, Kryptowährungen und Online-Glücksspiel-Marketing erstreckt; nach außen gibt er sich als „Kris“ aus. Am 8. August 2025 ging Version 2.6.7 live, im changelog stand nur die vier Worte „Kompatibilitäts-Update“.

Die tatsächliche Änderung: class-anylc-admin.php erweitert sich von 473 Zeilen auf 664 Zeilen und ergänzt 191 Zeilen Hintertür-Code. Das ist Krises erster Commit im SVN.

Die Hintertür startete nicht sofort. Sie schlief ein, bis zum 5.–6. April 2026, und begann erst dann mit der ersten Phase: Das wpos-analytics-Modul schickte einen Callback an analytics.essentialplugin.com und lud eine Datei herunter, die als wp-comments-posts.php benannt war. Dabei wird bewusst das WordPress-Core wp-comments-post.php nachgeahmt – es fehlt nur ein Buchstabe.

wp-config.php wurde mit 6 KB Schadcode beschrieben

Am 6. April 2026 um 04:22 UTC wurde der Injektionscode gestartet; um 11:06 UTC war wp-config.php auf globalen kompromittierten Websites vollständig geschrieben. In 6 Stunden und 44 Minuten wurde keine Alarmierung auf Plattformebene ausgelöst.

Der injizierte Schadcode tut zwei Dinge: Erstens werden Spam-Externe-Links eingebettet, aber nur für den User-Agent von Googlebot angezeigt; normale Besucher und Website-Administratoren sehen vollständig normale Seiten. Zweitens wird ein nicht autorisiertes REST-API-Endpunkt geöffnet (permission_callback: __return_true), kombiniert mit der PHP-Deserialisierungsfunktion fetch_ver_info(), wodurch ein Remote-Execution-Pfad für willkürliche Funktionsaufrufe entsteht.

Am bemerkenswertesten und zu dokumentieren sind jedoch nicht die Design-Details der Injektion selbst, sondern die Umgehungslösung der C2-Infrastruktur: Angreifer schreiben die Auflösung der Kommandodomain in einen Ethereum-Smart-Contract, und die Hintertür fragt über öffentliche Blockchain-RPC-Knoten die neueste Zielrichtung ab.

Herkömmliche Sicherheitsabwehr wie Domain-Blacklist oder DNS-Sperren sind mit dieser Architektur vollständig wirkungslos. Die Angreifer müssen nur den Contract aktualisieren, und das C2 aller weltweit infizierten Sites wechselt synchron, ohne irgendeinen Kontakt zu kontrollierten Servern herzustellen.

Das ist nicht das erste Mal, und es wird auch nicht das letzte Mal sein

2017 kaufte Daley Tias für 15.000 US-Dollar die Installationsmenge von 200.000 Display Widgets, injizierte kreditähnliche Spam-Links und betraf später mindestens 9 weitere Plugins. Nach diesem Vorfall brachte WordPress.org keinen obligatorischen Prüfmechanismus zur Übertragung des Plugin-Eigentums heraus; löste bei der ersten Einreichung durch einen neuen Committer keine zusätzliche manuelle oder automatische Prüfung aus; und schickte auch keine Benachrichtigung an bestehende Installationsnutzer mit der Information „Das Plugin ist in andere Hände übergegangen“.

Neun Jahre später ist der Ablauf identisch. Kris erledigt den Kauf, erhält die SVN-Commit-Berechtigung, und der erste Commit ist die Hintertür – durchgehend regelkonform.

Ein Problem der Regeln, nicht der Technik

Bei diesem Vorfall wurden keine Zero-Day-Schwachstellen verwendet. Die Qualität des Hintertür-Codes ist mittelmäßig; in den 191 Zeilen steckt keine ausgeklügelte Verschleierungstechnik. Dass sie 243 Tage lang im Verborgenen bleiben kann, liegt nicht an technischen Fähigkeiten, sondern an der vollständigen Abwesenheit dieses Eigentumswechsel-Schrittes im Plugin-Marktplatz von WordPress.org.

Das Auflösen der C2-Domain über Ethereum-Smart-Contracts bringt der technischen Architektur tatsächlich eine zusätzliche, diskutierenswerte Designschicht – aber das macht die Bereinigung nur schwieriger, nicht den Angriff überhaupt erst möglich. Der Angriff wird möglich, weil die Plattform es jedem erlaubt, irgendein Plugin zu kaufen, Updates zu pushen, und niemandem erklären zu müssen, worauf sich das „Kompatibilitäts-Update“ in den changelogs eigentlich bezieht.

WordPress.org hat innerhalb eines Tages über 30 Plugin-Programme deaktiviert

Am 7. April 2026 hat das WordPress.org-Plugin-Team die gesamten Plugin-Programme des Essential-Plugin-Autors dauerhaft deaktiviert. Mindestens 30 Plugins – alles am selben Tag. Die folgenden Plugins wurden von Austin Ginder bestätigt:

• Accordion and Accordion Slider — accordion-and-accordion-slider
• Album and Image Gallery Plus Lightbox — album-and-image-gallery-plus-lightbox
• Audio Player with Playlist Ultimate — audio-player-with-playlist-ultimate
• Blog Designer for Post and Widget — blog-designer-for-post-and-widget
• Countdown Timer Ultimate — countdown-timer-ultimate
• Featured Post Creative — featured-post-creative
• Footer Mega Grid Columns — footer-mega-grid-columns
• Hero Banner Ultimate — hero-banner-ultimate
• HTML5 VideoGallery Plus Player — html5-videogallery-plus-player
• Meta Slider and Carousel with Lightbox — meta-slider-and-carousel-with-lightbox
• Popup Anything on Click — popup-anything-on-click
• Portfolio and Projects — portfolio-and-projects
• Post Category Image with Grid and Slider — post-category-image-with-grid-and-slider
• Post Grid and Filter Ultimate — post-grid-and-filter-ultimate
• Preloader for Website — preloader-for-website
• Product Categories Designs for WooCommerce — product-categories-designs-for-woocommerce
• Responsive WP FAQ with Category — sp-faq
• SlidersPack – All in One Image Sliders — sliderspack-all-in-one-image-sliders
• SP News And Widget — sp-news-and-widget
• Styles for WP PageNavi – Addon — styles-for-wp-pagenavi-addon
• Ticker Ultimate — ticker-ultimate
• Timeline and History Slider — timeline-and-history-slider
• Woo Product Slider and Carousel with Category — woo-product-slider-and-carousel-with-category
• WP Blog and Widgets — wp-blog-and-widgets
• WP Featured Content and Slider — wp-featured-content-and-slider
• WP Logo Showcase Responsive Slider and Carousel — wp-logo-showcase-responsive-slider-slider
• WP Responsive Recent Post Slider — wp-responsive-recent-post-slider
• WP Slick Slider and Image Carousel — wp-slick-slider-and-image-carousel
• WP Team Showcase and Slider — wp-team-showcase-and-slider
• WP Testimonial with Widget — wp-testimonial-with-widget
• WP Trending Post Slider and Widget — wp-trending-post-slider-and-widget