La backdoor è entrata in più plugin di WordPress nel corso di un attacco alla catena di fornitura
I plugin di WordPress in esecuzione su ben 36.000 siti web sono stati sottoposti a backdoor in un attacco alla catena di fornitura con origini sconosciute, hanno detto lunedì i ricercatori di sicurezza.
Secondo i ricercatori della società di sicurezza Wordfence, finora sono cinque i plugin interessati dalla campagna attiva fino a lunedì mattina. segnalato. Nel corso della scorsa settimana, autori di minacce sconosciuti hanno aggiunto funzioni dannose agli aggiornamenti disponibili per i plugin su WordPress.org, il sito ufficiale del software CMS open source WordPress. Una volta installati, gli aggiornamenti creano automaticamente un account amministrativo controllato dagli aggressori che fornisce il pieno controllo sul sito compromesso. Gli aggiornamenti aggiungono anche contenuti progettati per ottenere risultati di ricerca vantaggiosi.
Avvelenare il pozzo
“Il codice dannoso iniettato non è molto sofisticato o fortemente offuscato e contiene commenti che lo rendono facile da seguire”, hanno scritto i ricercatori. “La prima iniezione sembra risalire al 21 giugno 2024 e l'autore della minaccia stava ancora aggiornando attivamente i plugin fino a 5 ore fa.”
I cinque plugin sono:
Negli ultimi dieci anni, gli attacchi alla catena di fornitura si sono evoluti in uno dei vettori più efficaci per l’installazione di malware. Avvelenando il software alla fonte, gli autori delle minacce possono infettare un gran numero di dispositivi quando gli utenti non fanno altro che eseguire un aggiornamento attendibile o un file di installazione. All'inizio di quest'anno, il disastro è stato evitato per un pelo dopo la scoperta di una backdoor inserita nella libreria di codici open source XZ Utils, ampiamente utilizzata da, in gran parte per fortunauna settimana o due prima della pubblicazione generale prevista. Esempi Di altro recente catena di fornitura attacchi abbondare.
I ricercatori stanno indagando ulteriormente sul malware e su come è diventato disponibile per il download nel canale dei plugin di WordPress. I rappresentanti di WordPress, BLAZE e Social Warfare non hanno risposto alle domande inviate via email. Non è stato possibile contattare i rappresentanti degli sviluppatori dei restanti tre plugin perché non hanno fornito informazioni di contatto sui loro siti.
I ricercatori di Wordfence hanno detto che la prima indicazione che hanno trovato dell'attacco risale a sabato questo post da un membro del team di revisione dei plugin di WordPress. I ricercatori hanno analizzato il file dannoso e hanno identificato altri quattro plugin infettati da un codice simile. I ricercatori hanno scritto inoltre:
In questa fase, sappiamo che il malware iniettato tenta di creare un nuovo account utente amministrativo e quindi invia tali dettagli al server controllato dall'aggressore. Inoltre, sembra che l'autore della minaccia abbia anche iniettato JavaScript dannoso nel piè di pagina dei siti Web che sembra aggiungere spam SEO in tutto il sito Web. Il codice dannoso iniettato non è molto sofisticato o fortemente offuscato e contiene commenti che lo rendono facile da seguire. La prima iniezione sembra risalire al 21 giugno 2024 e l'autore della minaccia stava ancora aggiornando attivamente i plugin fino a 5 ore fa. Al momento non sappiamo esattamente come l’autore della minaccia sia riuscito a infettare questi plugin.
Chiunque abbia installato uno di questi plugin dovrebbe disinstallarlo immediatamente e ispezionare attentamente il proprio sito per verificare la presenza di account amministratore creati di recente e contenuti dannosi o non autorizzati. I siti che utilizzano lo scanner delle vulnerabilità di Wordfence riceveranno un avviso se stanno eseguendo uno dei plugin.
Il post di Wordfence consiglia inoltre alle persone di controllare nei propri siti le connessioni dall'indirizzo IP 94.156.79.8 e gli account amministratore con i nomi utente Opzioni o PluginAuth.