해커들이 워드프레스의 mu-plugins("Must-Use Plugins") 디렉토리를 이용해 모든 페이지에서 악성 코드를 실행하고 감지를 피하고 있습니다. 이 기법은 Sucuri의 보안 연구원들이 2025년 2월에 처음 발견했으며, 현재로서는 위협 요인들이 이 폴더를 이용해 세 가지 유형의 악성 코드를 실행하는 데 사용하고 있습니다. Sucuri의 보안 분석가 Puja Srivastava는 "mu-plugins 내에서 많은 감염이 발견된 것은 공격자들이 이 디렉토리를 지속적인 거점으로 적극적으로 공격하고 있다는 것을 의미한다"고 설명했습니다.
mu-plugins는 워드프레스 플러그인의 특별한 유형으로, 관리자 대시보드에서 활성화할 필요 없이 모든 페이지 로드 시 자동으로 실행됩니다. 이들은 'wp-content/mu-plugins/' 디렉토리에 저장된 PHP 파일로, 훅된 함수가 실행될 때 자동으로 실행되며, "Must-Use" 필터가 체크되지 않는 한 일반 "Plugins" 관리 페이지에 나열되지 않습니다. mu-plugins는 사이트 전체 기능을 강제하는 사용자 정의 보안 규칙, 성능 튜닝, 동적 변수 또는 다른 코드 수정 등의 합법적인 사용 사례가 있습니다. 그러나 MU-plugins는 모든 페이지 로드 시 실행되고 표준 플러그인 목록에 나타나지 않기 때문에, 자격 증명 도용, 악성 코드 주입, HTML 출력 변경 등 다양한 악의적인 활동을 은밀하게 수행하는 데 사용될 수 있습니다 .
Sucuri는 공격자들이 mu-plugins 디렉토리에 심는 세 가지 페이로드를 발견했는데, 이는 재정적으로 동기를 부여하는 작업의 일부로 보입니다. Securi는 정확한 감염 경로는 확인하지 못했지만 공격자가 플러그인과 테마의 알려진 취약점이나 취약한 관리자 계정 자격 증명을 악용한다는 가설을 세웠습니다. WordPress 사이트 관리자는 플러그인과 테마에 보안 업데이트를 적용하고, 필요 없는 플러그인과 테마는 비활성화하거나 제거하고, 강력한 자격 증명과 다중 요소 인증으로 권한이 있는 계정을 보호하는 것이 좋습니다.
- 해커들이 워드프레스의 mu-plugins 디렉토리를 이용해 악성 코드를 은밀하게 실행하고 있다.
- mu-plugins는 모든 페이지 로드 시 자동으로 실행되며, 표준 플러그인 목록에 나타나지 않아 악의적인 활동을 은밀하게 수행하는 데 사용될 수 있다.
- Sucuri는 공격자들이 mu-plugins 디렉토리에 심는 세 가지 페이로드를 발견했으며, 이들은 재정적으로 동기를 부여하는 작업의 일부로 보인다.
- Sucuri는 공격자가 알려진 취약점이나 취약한 관리자 계정 자격 증명을 악용한다는 가설을 세웠다.
- WordPress 사이트 관리자는 플러그인과 테마에 보안 업데이트, 필요없는 플러그인과 테마 비활성화, 권한이 있는 계정을 보호하는 것이 좋다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.