En kriminel behøver ikke bryde ind i jeres systemer. Han kan købe den software, I allerede har installeret.
Det er præcis det, der skete i januar 2025. Tre udviklere solgte deres portefølje af 30 programmer, som bruges af hundredtusinder af hjemmesider verden over. Køberen var anonym og havde baggrund i SEO, kryptovaluta og online gambling. Han betalte et sekscifret beløb og fik adgang til at sende opdateringer direkte ud til alle brugere. Den første opdatering, han udgav, indeholdt en bagdør.
Otte måneder under radaren
Bagdøren blev udgivet i august 2025 som en rutineopdatering. Beskrivelsen lød, at det var en tjek af kompatibilitet med nyeste version. I virkeligheden indeholdt opdateringen 191 linjer ny kode, og en af dem var en bagdør. Den blev distribueret via automatiske opdateringer til alle de hjemmesider, der havde et eller flere af de 30 programmer installeret.
I otte måneder skete der ingenting. Koden spredte sig stille og roligt, mens den opførte sig helt normalt. Den ventede. Ventetiden er ikke tilfældig. Den afkobler opdagelsen fra ejerskiftet, så ingen kobler opdateringen til handlen fra januar.
Den 6. april 2026 blev bagdøren aktiveret. De ramte sider begyndte at vise skjult indhold, men kun til Googles søgerobot. Ejerne så en helt almindelig hjemmeside. Google så noget andet. Det er et usynligt tab af søgesynlighed og omdømme, der kan tage måneder at genoprette.
Samme uge, samme mønster, andet program
I samme uge som sagen om de 30 programmer blev opdaget, ramte et tilsvarende angreb endnu et WordPress-program, der bruges af over 800.000 hjemmesider. Her var indgangen en kompromitteret opdateringsserver hos udvikleren selv. Teknisk er det en anden metode, men resultatet er det samme. Den software, man troede man kendte, var ikke længere den samme.
Det er ikke et nyt fænomen. Allerede i 2017 dokumenterede sikkerhedsforskere, at samme aktør systematisk havde opkøbt ni WordPress-programmer over fire år for at indsætte skjult reklame. Mønstret er bare blevet større, mere tålmodigt og mere professionelt.
Problemet rammer bredt
Opkøbsmønstret er ikke begrænset til WordPress. Det er dokumenteret i browser-udvidelser, der bruges af millioner, og i programbiblioteker, som udviklere over hele verden trækker ind i ny software. De store markedspladser kræver ingen kontrol ved ejerskifte, og brugerne får ingen besked, når softwaren skifter hænder.
Det er en strukturel svaghed i måden, moderne software distribueres på. Tillid bygges op over år, men den kan købes på få uger.
Det er en leverandørsag
Ifølge PwC’s Cybercrime Survey 2025 peger hver anden danske virksomhed på manglende overblik over leverandører som den største barriere for at efterleve NIS2-direktivet. Det er ikke en teoretisk bekymring. Hver tredje danske virksomhed blev ramt af en sikkerhedshændelse sidste år.
Udfordringen handler ikke om at erstatte jeres plugins eller udvidelser. Den handler om at få overblik over, hvem der står bag dem, og om ejerskabet har skiftet for nylig.
Tre skridt for jeres ledelse
1. Kortlæg jeres softwareleverandører. Ikke kun de store it-systemer, men også plugins, udvidelser og SaaS-værktøjer på jeres hjemmeside, webshop og interne platforme. Hvem står bag hver enkelt? Har ejerskabet skiftet inden for det seneste år?
2. Sæt en afkølingsperiode på kritiske opdateringer. 7 til 14 dages ventetid før I installerer nye versioner af kritisk software giver tid til, at andre fanger ondsindede opdateringer først. Undtagelsen er akutte sikkerhedspatches, der lukker aktivt udnyttede huller.
3. Overvåg ændringer på jeres hjemmeside og systemer. Backup er ikke nok. I skal kunne se når filer, indstillinger eller adgange ændrer sig, uden at I selv har igangsat det. Det er den eneste måde at opdage en bagdør, der opfører sig normalt.
En uvildig cybersikkerhedsaudit dækker netop dette område. Den afdækker, hvilke software-leverandører I reelt er afhængige af, og vurderer jeres eksponering over for leverandørskift, ondsindede opdateringer og tredjepartsangreb. For virksomheder med mange plugins og udvidelser kan en leverandøraudit være det rette sted at starte.
Hvornår fik I sidst en uvildig cybersikkerhedsaudit af en erfaren ekstern specialist, der tør sige tingene, som de er?
Har du brug for en uvildig gennemgang af jeres leverandør- og softwaresikkerhed?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
