Pelo menos cinco plugins hospedados no WordPress.org incluem scripts PHP maliciosos

Imagem com a logomarca do WordPress com fundo vermelho

Cibercriminosos modificaram o código-fonte de pelo menos cinco plugins hospedados no WordPress.org para incluir scripts PHP maliciosos. Esses scripts maliciosos criam novas contas com privilégios administrativos em sites que os executam.

Plugins hospedados no WordPress.org incluem scripts PHP maliciosos

O ataque foi descoberto pela equipe do Wordfence Threat Intelligence, mas as injeções maliciosas parecem ter ocorrido no final da semana passada, entre 21 e 22 de junho. Assim que o Wordfence descobriu a violação, a empresa notificou os desenvolvedores do plugin, o que resultou no lançamento de patches ontem para a maioria dos produtos.

Juntos, os cinco plugins foram instalados em mais de 35.000 sites:

  • Social Warfare 4.4.6.4 a 4.4.7.1 (corrigido na versão 4.4.7.3);
  • Blaze Widget 2.2.5 a 2.5.2 (corrigido na versão 2.5.4);
  • Elemento Wrapper Link 1.0.2 a 1.0.3 (corrigido na versão 1.0.5);
  • Contact Form 7 Multi-Step Addon 1.0.4 a 1.0.5 (corrigido na versão 1.0.7);
  • Simply Show Hooks 1.2.1 a 1.2.2 (nenhuma correção disponível ainda).
pelo-menos-cinco-plug-ins-hospedados-no-wordpress-org-incluem-scripts-php-maliciosos

O Wordfence observa que não sabe como o autor da ameaça conseguiu obter acesso ao código-fonte dos plugins, mas uma investigação está investigando. Embora seja possível que o ataque afete um número maior de plugins do WordPress, as evidências atuais sugerem que o comprometimento está limitado ao conjunto de cinco mencionado acima.

Operação backdoor e IoCs

O código malicioso nos plugins infectados tenta criar novas contas de administrador e injetar spam de SEO no site comprometido.

Nesta fase, sabemos que o malware injetado tenta criar uma nova conta de usuário administrativo e depois envia esses detalhes de volta ao servidor controlado pelo invasor.

Além disso, parece que o agente da ameaça também injetou JavaScript malicioso no rodapé dos sites, o que parece adicionar spam de SEO em todo o site.

De acordo com os pesquisadores, os dados são transmitidos para o endereço IP 94.156.79[.]8, enquanto as contas de administrador criadas arbitrariamente são denominadas “Options” e “PluginAuth”.

Os proprietários de sites que perceberem tais contas ou tráfego para o endereço IP do invasor devem realizar uma verificação e limpeza completa do malware.

Se você tiver algum desses plug-ins instalados, considere sua instalação comprometida e entre imediatamente no modo de resposta a incidentes.

O Wordfence observa que alguns dos plug-ins afetados foram temporariamente removidos do WordPress.org, o que pode fazer com que os usuários recebam avisos mesmo que usem uma versão corrigida.

Acesse a versão completa
Sair da versão mobile