Новости Волки в овечьей шкуре: как легитимные плагины WordPress стали оружием хакеров

[NewsMaker]

Десятки тысяч сайтов оказались под прицелом цифровых диверсантов.

---

---

Несколько легитимных плагинов WordPress подверглись атаке с внедрением вредоносного кода, который позволяет создавать несанкционированные учётные записи администраторов, что даёт возможность злоумышленникам выполнять произвольные действия.

Исследователь безопасности Wordfence Хлоя Чемберлен Для просмотра ссылки Войди или Зарегистрируйся что вредоносное ПО пытается создать новую учётную запись администратора и затем отправляет эти данные на сервер, контролируемый атакующими. Кроме того, угроза включает добавление вредоносного JavaScript в футер сайтов, что приводит к распространению SEO-спама.

Учётные записи администраторов имеют имена «Options» и «PluginAuth», а информация о них передаётся на IP-адрес 94.156.79[.]8.

Как злоумышленникам удалось скомпрометировать плагины, пока неизвестно, но первые признаки атаки датируются 21 июня 2024 года.

Сейчас данные плагины удалены из каталога WordPress для проведения проверки:

• Для просмотра ссылки Войди или Зарегистрируйся 4.4.6.4 — 4.4.7.1 (обновлённая версия: 4.4.7.3) — более 30 000 установок;
• Для просмотра ссылки Войди или Зарегистрируйся 2.2.5 — 2.5.2 (обновлённая версия: 2.5.4) — более 10 установок;
• Для просмотра ссылки Войди или Зарегистрируйся 1.0.2 — 1.0.3 (обновлённая версия: 1.05) — более 1 000 установок;
• Для просмотра ссылки Войди или Зарегистрируйся 1.0.4 — 1.0.5 (обновлённая версия: 1.0.7) — более 700 установок;
• Для просмотра ссылки Войди или Зарегистрируйся 1.2.1 (обновленная версия отсутствует) — более 4 000 установок.

Пользователям данных плагинов рекомендуется проверить свои сайты на наличие подозрительных учётных записей администраторов и удалить их, а также устранить любой вредоносный код.