Волки в овечьей шкуре: как легитимные плагины WordPress стали оружием хакеров

Несколько легитимных плагинов WordPress подверглись атаке с внедрением вредоносного кода, который позволяет создавать несанкционированные учётные записи администраторов, что даёт возможность злоумышленникам выполнять произвольные действия.

Исследователь безопасности Wordfence Хлоя Чемберлен сообщила, что вредоносное ПО пытается создать новую учётную запись администратора и затем отправляет эти данные на сервер, контролируемый атакующими. Кроме того, угроза включает добавление вредоносного JavaScript в футер сайтов, что приводит к распространению SEO-спама.

Учётные записи администраторов имеют имена «Options» и «PluginAuth», а информация о них передаётся на IP-адрес 94.156.79[.]8.

Как злоумышленникам удалось скомпрометировать плагины, пока неизвестно, но первые признаки атаки датируются 21 июня 2024 года.

Сейчас данные плагины удалены из каталога WordPress для проведения проверки:

• Social Warfare 4.4.6.4 — 4.4.7.1 (обновлённая версия: 4.4.7.3) — более 30 000 установок;
• Blaze Widget 2.2.5 — 2.5.2 (обновлённая версия: 2.5.4) — более 10 установок;
• Wrapper Link Element 1.0.2 — 1.0.3 (обновлённая версия: 1.05) — более 1 000 установок;
• Contact Form 7 Multi-Step Addon 1.0.4 — 1.0.5 (обновлённая версия: 1.0.7) — более 700 установок;
• Simply Show Hooks 1.2.1 (обновленная версия отсутствует) — более 4 000 установок.

Пользователям данных плагинов рекомендуется проверить свои сайты на наличие подозрительных учётных записей администраторов и удалить их, а также устранить любой вредоносный код.