Неизвестные злоумышленники изменили исходный код как минимум пяти плагинов для WordPress доступных на WordPress.org, внедрив в него вредоносные PHP-скрипты. Бэкдор создал новые учетные записи с правами администратора на 36 000 сайтах, где установлены взломанные плагины.
Как сообщают специалисты Wordfence, обнаружившие эту атаку, вредоносные инъекции, судя по всему, были сделаны в конце прошлой недели, между 21 и 22 июня 2024 года.
Как только исследователи обнаружили проблему, они уведомили разработчиков плагинов о случившемся, поэтому в настоящее время для большинства из них уже доступны патчи:
- Social Warfare — более 30 000 установок (проблема появилась в версиях с 4.4.6.4 по 4.4.7.1, исправлена в версии 4.4.7.3);
- BLAZE Retail Widget — 10 установок (проблема появилась в версиях с 2.2.5 по 2.5.2, исправлена в версии 2.5.4);
- Wrapper Link Elementor — 1000 установок (проблема появилась в версиях 1.0.2 и 1.0.3, исправлена в версии 1.0.5);
- Contact Form 7 Multi-Step Addon — 700 установок (проблема появилась в версиях 1.0.4 и 1.0.5, исправлена в версии 1.0.7);
- Simply Show Hooks — 4000 установок (проблема появилась в версии 1.2.1, патча пока нет).
Эксперты Wordfence отмечают, что пока неясно, каким образом злоумышленники получили доступ к исходному коду этих плагинов, и в настоящее время еще идет расследование.
Как уже было сказано выше, вредоносный код пытался создать на пострадавших сайтах новые учетные записи с правами администратора, а затем передавал данные них своим операторам. Данные передавались на IP-адрес 94.156.79[.]8, а новые учетные записи обычно назывались Options и PluginAuth.
Кроме того, сообщается, что атакующие внедряли на взломанные ресурсы SEO-спам.
«Похоже, злоумышленники также внедряли вредоносный JavaScript-код в подвал сайтов, и судя по всему, это добавляло SEO-спам на весь сайт», — пишут исследователи.
Wordfence предупреждает, что всем владельцам сайтов, где установлены перечисленные плагины, следует считать свои ресурсы скомпрометированными и немедленно «перейти в режим реагирования на инциденты».
Также отмечается, что некоторые плагины могут быть временно недоступны на WordPress.org, а это может привести к тому, что пользователи будут получать предупреждения, даже если уже используют исправленные версии.