Un actor de amenințare a modificat codul sursă al cel puțin cinci plugin-uri găzduite pe WordPress.org pentru a include scripturi PHP malitioase care creează conturi noi cu privilegii de administrator pe site-urile care le rulează.
Atacul a fost descoperit de echipa de informații despre amenințări Wordfence ieri, dar injecțiile malitioase par să fi avut loc spre sfârșitul săptămânii trecute, între 21 și 22 iunie.
Imediat ce Wordfence a descoperit încălcarea, compania a notificat dezvoltatorii plugin-urilor, ceea ce a dus la lansarea unor patch-uri ieri pentru majoritatea produselor.
Împreună, cele cinci plugin-uri au fost instalate pe peste 35.000 de site-uri:
Wordfence remarcă că nu știe cum actorul de amenințare a reușit să obțină acces la codul sursă al plugin-urilor, dar o investigație este în curs de desfășurare.
Deși este posibil ca atacul să afecteze un număr mai mare de plugin-uri WordPress, dovezi actuale sugerează că compromiterea este limitată la cele cinci menționate anterior.
Codul malitios din plugin-urile infectate încearcă să creeze conturi de administrator noi și să injecteze spam SEO în site-ul compromis.
„La acest moment, știm că malware-ul injectat încearcă să creeze un cont de utilizator administrativ nou și apoi trimite aceste detalii către serverul controlat de atacator,” explică Wordfence.
„În plus, se pare că actorul de amenințare a injectat și JavaScript malitios în subsolul site-urilor care pare să adauge spam SEO în întregul site.”
Datele sunt transmise la adresa IP 94.156.79[.]8, în timp ce conturile de administrator create arbitrar sunt denumite „Options” și „PluginAuth,” spun cercetătorii.
Proprietarii de site-uri care observă astfel de conturi sau trafic către adresa IP a atacatorului ar trebui să efectueze o scanare completă a malware-ului și o curățare.
Wordfence remarcă că unele dintre plugin-urile afectate au fost temporar eliminate din WordPress.org, ceea ce ar putea determina ca utilizatorii să primească avertismente chiar dacă folosesc o versiune reparată.
JAVS, software-ul de înregistrare a sălilor de judecată, a fost compromis într-un atac de tip supply chain
Hackerii exploatează o vulnerabilitate în LiteSpeed Cache pentru a crea administratori WordPress
Noul malware Android Wpeeper se ascunde în spatele site-urilor WordPress compromise
Atacul de tip supply chain cu JavaScript Polyfill.io afectează peste 100.000 de site-uri
Modulul Facebook PrestaShop exploatat pentru a fura carduri de credit
Leave a Reply