Wordfence揭露了一项利用恶意WordPress Core插件的复杂WordPress恶意软件活动。该活动自2023年起活跃，利用先进的反检测技术窃取信用卡和凭证。

网络安全研究人员发现了一个针对WordPress网站的高度先进的恶意软件活动，该活动能够窃取信用卡详细信息、用户登录信息，甚至分析受害者。

该恶意软件于2025年5月16日由Wordfence威胁情报团队发现，它被打包成一个欺骗性的WordPress插件，并使用了前所未有的反检测方法。其中一项特别创新的策略是直接在受感染的网站上托管实时管理系统，使其更难被发现。

Wordfence的官方博客文章透露，这项复杂的操作至少自2023年9月以来就一直活跃。研究人员分析了20多个恶意软件样本，发现了所有版本之间的共同特征，包括代码扰乱、规避分析的技术以及检测开发人员工具的方法。

例如，该恶意软件巧妙地避开管理员页面运行以保持隐藏，仅在结账屏幕上激活。较新的版本甚至会创建虚假的支付表单，并模仿Cloudflare的安全检查来欺骗用户。被盗信息通常会伪装成图片网址发送出去。

除了窃取支付信息外，研究人员还发现了该恶意软件的另外三个版本，每个版本都有不同的目标。其中一个版本篡改了 Google Ads，向移动用户展示虚假广告。另一个版本则旨在窃取WordPress的登录信息。

第三个版本通过将网站上的合法链接更改为恶意链接来传播更多恶意软件。尽管功能各异，但核心软件框架保持一致，并针对每种特定攻击调整其功能。某些版本甚至使用即时通讯应用Telegram实时发送被盗数据并跟踪用户操作。

受检样本中还包含一个令人惊讶的完整虚假人工验证挑战，该挑战以全屏和多语言屏幕的形式动态注入，旨在既用作用户欺骗工具，又用作反机器人过滤器。这包括恶意软件的极其先进的功能，例如多语言本地化的文本、对 RTL 语言和暗黑模式的CSS支持、动画和旋转SVG等交互元素，以及明显的Cloudflare品牌模仿，揭示了前所未有的复杂性。---Paolo Tresso

一项关键发现是一个名为WordPress Core的伪造WordPress插件。虽然看似无害，但它包含用于略读的隐藏JavaScript代码和PHP脚本，允许攻击者直接从受感染的网站管理被盗数据。

该恶意插件还利用了热门电商平台WooCommerce的特定功能，将欺诈订单标记为已完成，从而延迟检测。其隐藏的管理系统将窃取的支付数据直接存储在WordPress中，并归类于自定义的“消息”部分。

为了防范此威胁，网站管理员应查找入侵迹象，包括与攻击者相关的特定域名，例如api-service-188910982.website和graphiccloudcontent.com。Wordfence已于2025年5月17日至6月15日期间向其高级用户发布了针对此恶意软件的检测签名，而免费用户则需在标准的30天延迟后才能收到。