Un malware apparemment lié à une compromission de la chaîne d’approvisionnement découvert dans le plugin officiel GravityForms

 (patchstack.com)
1 points par GN⁺ 2025-07-14 | 1 commentaires | Partager sur WhatsApp
  • Du code malveillant a été découvert dans la dernière version du plugin WordPress GravityForms
  • Il s’agit d’une situation où la distribution officielle a été infectée à la suite d’une compromission de la chaîne d’approvisionnement (supply chain breach)
  • GravityForms est largement utilisé comme générateur de formulaires sur de nombreux sites web
  • Les chercheurs en sécurité enquêtent sur l’étendue de l’impact et le niveau de risque
  • Pour les sites web qui utilisent ce plugin, la nécessité d’une vérification rapide et d’un remplacement est soulignée

Vue d’ensemble de la compromission de la chaîne d’approvisionnement de GravityForms

  • Du code malveillant a récemment été détecté dans le plugin WordPress officiel GravityForms
  • Cet incident est considéré comme un cas représentatif de compromission de la chaîne d’approvisionnement (Supply Chain Breach)
  • L’infection s’étant produite à la source officielle, la confiance dans les nouvelles comme dans les anciennes installations s’en trouve diminuée

GravityForms et l’impact sur la sécurité

  • GravityForms est un plugin populaire qui permet de créer et gérer facilement des formulaires sur des sites web basés sur WordPress
  • Étant donné son usage très répandu, il est probable que l’ampleur des dommages d’une attaque de la chaîne d’approvisionnement soit considérable
  • Le malware injecté cette fois-ci peut entraîner des menaces pour la sécurité de l’ensemble du site web et des données des utilisateurs

Enquête et réponse

  • Les experts en sécurité analysent le vecteur d’infection et examinent en parallèle d’éventuels cas de propagation supplémentaire
  • Le malware diffusé par un canal officiel via une compromission de la chaîne d’approvisionnement montre que même des logiciels considérés comme fiables peuvent être exposés à des risques

Recommandations pour les utilisateurs de GravityForms

  • Les exploitants de sites web ayant installé ou mis à jour GravityForms doivent vérifier immédiatement l’intégrité du plugin
  • Il faut surveiller de près les annonces de sécurité et les avis de mise à jour des canaux officiels ; en cas de doute, une suppression forcée suivie d’une réinstallation est recommandée

Conclusion

  • Les attaques de la chaîne d’approvisionnement menacent la chaîne de confiance elle-même et constituent un signal d’alarme majeur pour les entreprises comme pour les développeurs
  • À l’avenir, l’importance de la vérification et d’une surveillance continue dans le choix des plugins et la gestion de la sécurité est mise en avant

À lire aussi

1 commentaires

 
GN⁺ 2025-07-14
Réactions sur Hacker News

  • Je suis vraiment reconnaissant qu’un administrateur système méticuleux ait découvert cette compromission de la chaîne d’approvisionnement en traquant des requêtes HTTP lentes
    De façon similaire, lors de l’affaire xz, un développeur qui trouvait étrange la baisse de performances des connexions SSH avait enquêté en détail et fini par révéler la compromission

    • Autrefois, les malwares se distinguaient plus facilement par la dégradation des performances système, mais aujourd’hui, avec du matériel plus rapide et des réseaux plus complexes, on a l’impression que la détection de base est devenue bien plus difficile
      Les acteurs malveillants deviennent de plus en plus rusés, et nous assemblons nos systèmes à partir de davantage de composants provenant de sources plus variées
      Il est inquiétant de voir, à long terme, l’ensemble de l’infrastructure IT perdre progressivement sa fiabilité par défaut

  • Si l’on en croit l’annonce officielle de Gravity Forms (https://www.gravityforms.com/blog/security-incident-notice/), seuls les cas où Gravity Forms a été téléchargé directement depuis leur site ou installé via Composer sont concernés
    D’après ce que j’ai vérifié, la méthode d’installation avec Composer utilise elle aussi l’API de Gravity Forms pour récupérer le package d’installation, et partage donc le même principe de fonctionnement que la fonction de mise à jour automatique intégrée au plugin Gravity Forms ou des outils comme le plugin WP-CLI
    Je me demande si l’équipe de développement de Gravity Forms va mandater une société de sécurité tierce pour enquêter sur cet incident
    Jusqu’à présent, aucune mention en ce sens

  • D’après ce qu’un employé de RocketGenius m’a confirmé, ce malware n’affecte que les téléchargements manuels et les installations via composer
    C’est rassurant

  • Si le formulaire avait utilisé un nonce avant vérification, une grande partie de ce problème aurait pu être évitée
    Autrement dit, cela aurait pu soudainement rendre nécessaire une énorme quantité de travail manuel

    • Je comprends vu le contexte technique, mais pour un Britannique, ce genre de phrase reste toujours un peu drôle

  • Je me demande depuis combien de temps cela passait inaperçu

  • Je trouve impressionnant qu’ils aient détecté le malware et pris des mesures pour empêcher sa propagation
    En revanche, il y avait une petite erreur un peu déroutante dans l’article
    Tout en haut, la date de dernière mise à jour devrait sans doute être "Update 7-12-2025 06:00 UTC", mais elle est indiquée comme 08-11-2025, une date future
    J’ai l’impression que l’auteur a probablement inversé ou mal saisi un chiffre

    • Il est naturel de se tromper sur la signification des nombres
      C’est une bonne leçon sur la confusion que peuvent provoquer les dates au format américain avec des tirets qui imitent l’ISO, mais avec un ordre et un padding mal appliqués

  • Une question se pose sur l’ampleur réelle de l’impact
    Est-ce que cela touche jusqu’à 90 % des sites internet, ou seulement une minorité de sites à faible trafic ?

    • C’est quelque part entre les deux
      Gravity Forms est un plugin WordPress premium extrêmement populaire
      Je maintiens plusieurs sites WordPress moi-même (ce n’était pas ma plateforme de choix, mais il faut faire avec), et je trouve que Gravity Forms est meilleur que la plupart des plugins concurrents en matière de design et de fonctionnalités (même s’il consomme beaucoup de CPU)
      Il ne pose pas tant de problèmes que ça, et en tant que développeur j’ai eu une expérience positive de mes échanges avec Rocket Genius via leur gestion des tickets
      C’est effectivement un plugin très installé dans les petites et moyennes organisations
      Je n’ai pas de chiffres exacts, mais les statistiques de popularité officielles de WordPress.org ne reflètent que les plugins gratuits, donc en réalité il est déployé sur beaucoup de sites et avec beaucoup de trafic
      Cela dit, le nombre de sites réellement exposés reste limité
      Comme le package concerné n’était pas inclus dans le principal canal de déploiement automatique, seuls quelques cas ont été réellement touchés
    • Il est souligné que seuls quelques sites ayant téléchargé manuellement la version concernée ont été affectés
      La grande majorité des fichiers de mise à jour premium (payants) sont distribués via la passerelle Gravity API (apparemment une architecture d’appel de fichiers basée sur AWS), et ce chemin n’a pas été affecté
      Le service Gravity API gère les licences, les mises à jour automatiques et l’installation des add-ons, et n’a jamais lui-même été compromis
      Toutes les mises à jour de packages passées par ce service sont indiquées comme sûres
    • Il est aussi indiqué que « l’infection ne semble pas s’être largement propagée, ce qui peut signifier que la version du plugin contenant la porte dérobée n’a été exposée que pendant une très courte période et n’a été distribuée qu’à un nombre extrêmement réduit d’utilisateurs »

  • Quelqu’un raconte avoir déjà été compromis par le groupe AB of Ac1dB1tch3z

  • Un avis estime qu’il faudrait préciser clairement de quel plugin il s’agit

    • C’est déjà indiqué clairement dans le titre, et il s’agit bien du plugin officiel GravityForms
      Ce problème a été corrigé dans la v2.9.13, et le journal des modifications officiel ne mentionne pas la compromission