通過龐大的供應鏈攻擊，黑客成功利用後門破壞了93 個WordPress 主題和插件，使其能夠完全訪問網站。黑客總共破壞了屬於AccessPress 的40 個主題和53 個插件，AccessPress 是一家WordPress 插件開發商，在超過36 萬個活躍網站中使用。

Jetpack 的研究人員率先發現了這次攻擊，該公司是WordPress 網站安全和優化工具的創建者，他們發現主題和插件中被添加了一個PHP 後門。Jetpack 認為，一個外部威脅者攻破了AccessPress 網站，破壞了該軟件並感染了更多的WordPress 網站。

一旦管理員在他們的網站上安裝了被入侵的AccessPress 產品，行為者就會在主主題目錄中添加一個新的“initial.php”文件，並將其納入主“function.php”文件。這個文件包含一個base64 編碼的有效載荷，將webshell 寫入“./wp-includes/vars.php”文件中。

惡意代碼通過解碼有效載荷並將其註入“vars.php”文件來完成後門的安裝，本質上是讓威脅者對受感染網站進行遠程控制。檢測這種威脅的唯一方法是使用核心文件完整性監控解決方案，因為惡意軟件會刪除“initial.php”文件的投放器以掩蓋其踪跡。