by Wizard

워드프레스 Gravity Forms 사용자 주의! 악성코드 감염 위험 경고

최근 워드프레스 인기 플러그인인 Gravity Forms 사용자를 대상으로 한 공급망 공격이 발생하여 큰 우려를 낳고 있습니다. 7월 10일과 11일, Gravity Forms 웹사이트에서 악성코드가 포함된 버전이 배포되었으며, 이로 인해 사용자들의 웹사이트가 위험에 노출되었습니다.

악성코드 감염 경로 및 영향

보안 연구원 PatchStack의 조사에 따르면, 공격자는 Gravity Forms 웹사이트를 침투하여 플러그인 설치 파일을 변조했습니다. 변조된 파일은 7월 10일과 11일 동안 수동 다운로드 또는 Composer를 통해 설치된 Gravity Forms 버전 2.9.11.1 및 2.9.12에 포함되어 있었습니다.

악성코드는 광범위한 사이트 메타데이터를 수집하고, 원격 코드 실행(RCE) 공격을 가능하게 했습니다. 또한, 플러그인 업데이트를 차단하고 외부 서버에 연결하여 추가 페이로드를 배포하며, 관리자 계정을 생성하여 공격자가 감염된 웹사이트를 완전히 제어할 수 있도록 했습니다.

Gravity Forms 공식 입장 및 대응

Gravity Forms 개발사인 RocketGenius는 공격 사실을 인지한 후 즉시 조사에 착수했습니다. 조사 결과, 악성코드는 수동 다운로드 및 Composer를 통해 설치된 플러그인에만 영향을 미치는 것으로 확인되었습니다.

RocketGenius는 "라이선스, 자동 업데이트, Gravity Forms 플러그인 내에서 시작된 애드온 설치를 처리하는 Gravity API 서비스는 침해되지 않았습니다. 해당 서비스를 통해 관리되는 모든 패키지 업데이트는 영향을 받지 않습니다."라고 밝혔습니다.

사용자 대응 방법 및 주의사항

만약 7월 10일 또는 11일에 RocketGenius 웹사이트에서 직접 Gravity Forms를 다운로드한 사용자는 즉시 플러그인을 삭제하고 깨끗한 버전으로 재설치해야 합니다. 가장 최신 버전인 2.9.13을 다운로드하는 것이 좋습니다.

또한, 웹사이트에 악성코드 감염 흔적이 있는지 면밀히 분석해야 합니다. 의심스러운 사용자 계정, 파일 변경, 비정상적인 트래픽 등을 확인하고 필요한 조치를 취해야 합니다.

Gravity Forms는 드래그 앤 드롭 인터페이스를 통해 다양한 양식을 쉽게 만들 수 있도록 지원하는 워드프레스 플러그인입니다. 연락처 양식, 설문 조사, 결제 양식 등 다양한 용도로 사용되며, 수많은 타사 서비스와 통합되어 있어 많은 사용자들에게 사랑받고 있습니다.

이번 공격은 널리 사용되는 플러그인을 대상으로 한 공급망 공격의 위험성을 보여줍니다. 플러그인을 다운로드할 때는 항상 공식 웹사이트에서 다운로드하고, 최신 버전으로 유지하며, 보안 취약점에 대한 정보를 꾸준히 확인하는 것이 중요합니다.