Неизвестные злоумышленники изменили исходный код как минимум пяти плагинов для WordPress доступных на WordPress.org, внедрив в него вредоносные PHP-скрипты. Бэкдор создал новые учетные записи с правами администратора на 36 000 сайтах, где установлены взломанные плагины.

Как сообщают специалисты Wordfence, обнаружившие эту атаку, вредоносные инъекции, судя по всему, были сделаны в конце прошлой недели, между 21 и 22 июня 2024 года.

Как только исследователи обнаружили проблему, они уведомили разработчиков плагинов о случившемся, поэтому в настоящее время для большинства из них уже доступны патчи:

  • Social Warfare — более 30 000 установок (проблема появилась в версиях с 4.4.6.4 по 4.4.7.1, исправлена в версии 4.4.7.3);
  • BLAZE Retail Widget — 10 установок (проблема появилась в версиях с 2.2.5 по 2.5.2, исправлена в версии 2.5.4);
  • Wrapper Link Elementor — 1000 установок (проблема появилась в версиях 1.0.2 и 1.0.3, исправлена в версии 1.0.5);
  • Contact Form 7 Multi-Step Addon — 700 установок (проблема появилась в версиях 1.0.4 и 1.0.5, исправлена в версии 1.0.7);
  • Simply Show Hooks — 4000 установок (проблема появилась в версии 1.2.1, патча пока нет).

Эксперты Wordfence отмечают, что пока неясно, каким образом злоумышленники получили доступ к исходному коду этих плагинов, и в настоящее время еще идет расследование.

Как уже было сказано выше, вредоносный код пытался создать на пострадавших сайтах новые учетные записи с правами администратора, а затем передавал данные них своим операторам. Данные передавались на IP-адрес 94.156.79[.]8, а новые учетные записи обычно назывались Options и PluginAuth.

Кроме того, сообщается, что атакующие внедряли на взломанные ресурсы SEO-спам.

«Похоже, злоумышленники также внедряли вредоносный JavaScript-код в подвал сайтов, и судя по всему, это добавляло SEO-спам на весь сайт», — пишут исследователи.

Wordfence предупреждает, что всем владельцам сайтов, где установлены перечисленные плагины, следует считать свои ресурсы скомпрометированными и немедленно «перейти в режим реагирования на инциденты».

Также отмечается, что некоторые плагины могут быть временно недоступны на WordPress.org, а это может привести к тому, что пользователи будут получать предупреждения, даже если уже используют исправленные версии.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии