本质新闻

2026年4月14日，多家安全专家发现，数十个广泛使用的WordPress插件被植入后门，导致数千个网站面临潜在安全威胁。该后门由新收购插件开发商Essential Plugin的未知主体在去年添加，并于本月激活，向安装相关插件的网站分发恶意代码。Essential Plugin官网称其插件安装量超40万，客户逾1.5万，而WordPress插件目录显示受影响插件在2万多个活跃网站中使用。插件已被永久下架，但用户需自查并卸载。此事件为两周内第二起WordPress插件被劫持事件，凸显开源软件供应链安全风险。相关公司暂未回应置评。

开源Python库LiteLLM被黑客组织TeamPCP篡改，恶意版本1.82.7和1.82.8在PyPI平台发布，用于窃取用户敏感数据。该库日下载量超340万次，本月累计下载量达9500万次，广泛用于连接多个大语言模型服务。安全机构Endor Labs发现，恶意版本部署了信息窃取程序，可收集凭证、授权令牌等。目前恶意版本已被移除，官方推荐1.82.6为安全版本。受影响用户被建议立即轮换所有密钥和凭证，并检查系统中的持久化文件及网络流量。