- Kode berbahaya ditemukan pada versi terbaru plugin GravityForms untuk WordPress
- Ini merupakan situasi di mana distribusi resminya terinfeksi akibat pelanggaran rantai pasok (supply chain breach)
- GravityForms banyak digunakan sebagai pembuat formulir di berbagai situs web
- Para peneliti keamanan sedang menyelidiki cakupan dampak dan tingkat risikonya
- Untuk situs web yang menggunakan plugin tersebut, ditekankan perlunya pemeriksaan cepat dan penggantian
Gambaran umum pelanggaran rantai pasok GravityForms
- Baru-baru ini, kode berbahaya terdeteksi pada plugin WordPress resmi GravityForms
- Insiden ini dinilai sebagai contoh representatif dari pelanggaran rantai pasok (Supply Chain Breach)
- Karena infeksi terjadi di sumber resmi, kepercayaan terhadap instalasi baru maupun yang sudah ada sama-sama menurun
GravityForms dan dampak keamanannya
- GravityForms adalah plugin populer yang membantu situs web berbasis WordPress melakukan pembuatan dan pengelolaan formulir dengan mudah
- Karena digunakan secara luas, kemungkinan cakupan dampak dari serangan rantai pasok ini cukup besar
- Malware yang disisipkan kali ini dapat berkembang menjadi ancaman keamanan bagi seluruh situs web dan data pengguna
Investigasi dan respons
- Para pakar keamanan sedang menganalisis jalur infeksi sekaligus menyelidiki kasus penyebaran tambahan
- Malware yang disebarkan melalui jalur resmi lewat pelanggaran rantai pasok menunjukkan bahwa bahkan perangkat lunak yang dianggap tepercaya pun dapat terekspos risiko
Rekomendasi untuk pengguna GravityForms
- Operator situs web yang telah memasang atau memperbarui GravityForms perlu segera melakukan pemeriksaan integritas plugin
- Pengumuman keamanan dan pemberitahuan pembaruan dari kanal resmi perlu dipantau dengan saksama, dan jika ada kecurigaan, disarankan melakukan penghapusan paksa lalu memasangnya kembali
Kesimpulan
- Serangan rantai pasok mengancam rantai kepercayaan itu sendiri dan menjadi peringatan penting bagi perusahaan maupun pengembang
- Ke depannya, dalam memilih plugin dan mengelola keamanan, pentingnya verifikasi dan pemantauan berkelanjutan kembali ditekankan
1 komentar
Komentar Hacker News
Saya benar-benar berterima kasih karena pelanggaran rantai pasok ini ditemukan oleh admin sistem yang teliti saat menelusuri permintaan HTTP yang lambat
Mirip dengan insiden xz, saat itu juga ada pengembang yang merasa aneh dengan penurunan performa login SSH lalu menelitinya dengan cermat hingga mengungkap adanya kompromi
Orang-orang berniat jahat juga makin licik, sementara kita merakit sistem dari semakin banyak komponen yang berasal dari semakin beragam sumber
Saya khawatir melihat gambaran jangka panjang di mana seluruh infrastruktur TI perlahan kehilangan kepercayaan dasarnya
Jika melihat pengumuman resmi Gravity Forms (https://www.gravityforms.com/blog/security-incident-notice/), dijelaskan bahwa yang terdampak hanya yang mengunduh Gravity Forms langsung dari situs webnya atau memasangnya lewat Composer
Setahu saya, metode instalasi Composer juga menggunakan Gravity Forms API saat mengambil paket instalasi, jadi mekanismenya berbagi prinsip kerja dengan fitur pembaruan otomatis di dalam plugin Gravity Forms maupun plugin WP-CLI
Saya penasaran apakah tim pengembang Gravity Forms akan menunjuk perusahaan keamanan pihak ketiga untuk menyelidiki insiden ini
Sampai sekarang belum ada penyebutan terkait hal itu
Dari yang saya konfirmasi dengan salah satu karyawan RocketGenius, saya dengar malware ini hanya berdampak pada unduhan manual dan instalasi composer
Lega rasanya
Jika caranya menggunakan nonce sebelum memeriksa form, sebagian besar masalah ini mungkin bisa dicegah
Dengan kata lain, berkat itu tiba-tiba bisa diperlukan banyak pekerjaan manual
Saya penasaran sudah berapa lama hal ini berlangsung tanpa terdeteksi
Menurut saya keren bahwa mereka berhasil menemukan malware ini dan mengambil tindakan untuk menghentikan penyebarannya
Namun, ada sedikit kesalahan yang membingungkan di artikelnya
Di bagian atas, tanggal pembaruan terbaru seharusnya tampaknya "Update 7-12-2025 06:00 UTC", tetapi malah tertulis 08-11-2025, yaitu tanggal di masa depan
Mungkin penulisnya salah menuliskan digitnya
Ini seperti pelajaran bahwa memakai tanda hubung sambil meniru format ISO ala tanggal Amerika, tetapi salah dalam urutan dan padding, bisa menimbulkan kebingungan seperti ini
Muncul pertanyaan tentang sejauh mana dampak insiden ini
Apakah sampai 90% situs internet, atau hanya segelintir situs dengan trafik rendah
Gravity Forms adalah plugin WordPress premium yang sangat populer
Saya memelihara beberapa situs WordPress (bukan platform yang saya pilih sendiri, tetapi mau bagaimana lagi), dan dari sisi desain serta fungsi saya merasa Gravity Forms lebih baik daripada kebanyakan plugin pesaingnya (meski memang boros CPU)
Masalahnya juga tidak terlalu banyak, dan sebagai pengembang saya punya kesan positif setelah berkomunikasi dengan Rocket Genius lewat penanganan tiket
Memang benar ini plugin yang cukup banyak dipasang di organisasi kecil hingga menengah
Saya tidak tahu angka pastinya, tetapi statistik popularitas resmi WordPress.org punya keterbatasan karena hanya mencerminkan plugin gratis, jadi kenyataannya ada banyak situs dan banyak trafik yang berjalan di sini
Namun, jumlah situs yang benar-benar terekspos risikonya terbatas
Karena paket yang bermasalah tidak termasuk dalam kanal distribusi otomatis utama, yang benar-benar terdampak hanya sedikit
Mayoritas file pembaruan premium berbayar dikirim melalui gateway Gravity API (menurut rumor berbasis struktur pemanggilan file AWS), dan jalur ini tidak terdampak
Layanan Gravity API menangani lisensi, pembaruan otomatis, dan instalasi add-on, dan tidak pernah mengalami kompromi
Semua pembaruan paket melalui layanan tersebut dinyatakan aman
Ada yang menceritakan pengalaman pernah dibobol oleh grup AB of Ac1dB1tch3z
Muncul pendapat bahwa harus ditulis dengan jelas plugin yang dimaksud
Isu ini telah diperbaiki di v2.9.13, dan changelog resmi tidak menyebut adanya catatan tentang kompromi