通過龐大的供應鏈攻擊，黑客成功利用后門破壞了 93 個 WordPress 主題和插件，使其能夠完全訪問網站。黑客總共破壞了屬于 AccessPress 的 40 個主題和 53 個插件，AccessPress 是一家 WordPress 插件開發商，在超過 36 萬個活躍網站中使用。

Jetpack 的研究人員率先發現了這次攻擊，該公司是 WordPress 網站安全和優化工具的創建者，他們發現主題和插件中被添加了一個 PHP 后門。Jetpack 認為，一個外部威脅者攻破了 AccessPress 網站，破壞了該軟件并感染了更多的 WordPress 網站。

一旦管理員在他們的網站上安裝了被入侵的 AccessPress 產品，行為者就會在主主題目錄中添加一個新的“initial.php”文件，并將其納入主“function.php”文件。這個文件包含一個 base64 編碼的有效載荷，將 webshell 寫入“./wp-includes/vars.php”文件中。

惡意代碼通過解碼有效載荷并將其注入“vars.php”文件來完成后門的安裝，本質上是讓威脅者對受感染網站進行遠程控制。檢測這種威脅的唯一方法是使用核心文件完整性監控解決方案，因為惡意軟件會刪除“initial.php”文件的投放器以掩蓋其蹤跡。