Търсене
Close this search box.

Хакер е модифицирал изходния код на поне пет плъгина, хоствани в WordPress.org, за да включи зловредни PHP скриптове, които създават нови акаунти с административни привилегии в уебсайтовете, в които се използват.

Атаката е открита от екипа на Wordfence Threat Intelligence вчера, но изглежда, че зловредните инжекции са извършени в края на миналата седмица, между 21 и 22 юни.

Веднага след като Wordfence откри нарушението, компанията уведоми разработчиците на плъгини, в резултат на което вчера бяха пуснати пачове за повечето от продуктите.

Заедно петте плъгина са били инсталирани на повече от 35 000 уебсайта:

  • Social Warfare от 4.4.6.4 до 4.4.7.1 (поправено във версия 4.4.7.3)
  • Blaze Widget от версия 2.2.5 до версия 2.5.2 (поправена във версия 2.5.4)
  • Елемент за обгръщаща връзка 1.0.2 до 1.0.3 (поправено във версия 1.0.5)
  • Многоетапна добавка за контактна форма 7 от 1.0.4 до 1.0.5 (поправена във версия 1.0.7)
  • Simply Show Hooks 1.2.1 до 1.2.2 (все още няма налична поправка)

Wordfence отбелязва, че не се знае как извършителят на заплахата е успял да получи достъп до изходния код на плъгините, но в момента тече разследване.

Въпреки че е възможно атаката да засяга по-голям брой плъгини на WordPress, настоящите данни сочат, че компрометирането е ограничено до гореспоменатия набор от пет плъгина.

Работа със задна врата и IoCs

Зловредният код в заразените плъгини се опитва да създаде нови администраторски акаунти и да инжектира SEO спам в компрометирания уебсайт.

„На този етап знаем, че инжектираният зловреден софтуер се опитва да създаде нов административен потребителски акаунт и след това изпраща тези данни обратно към контролирания от нападателя сървър“, обяснява Wordfence.

„Освен това изглежда, че извършителят   е инжектирал и злонамерен JavaScript във футъра на уебсайтовете, който изглежда добавя SEO спам в целия уебсайт.“

Данните се предават на IP адрес 94.156.79[.]8, а произволно създадените администраторски акаунти са наречени „Options“ и „PluginAuth“, казват изследователите.

Собствениците на уебсайтове, които забележат такива акаунти или трафик към IP адреса на нападателя, трябва да извършат пълно сканиране и почистване на зловредния софтуер.

„Ако имате инсталиран някой от тези плъгини, трябва да считате инсталацията си за компрометирана и незабавно да преминете в режим на реакция при инциденти.“ – пишат от Wordfence.
От Wordfence отбелязват, че някои от засегнатите плъгини са били временно изключени от списъка на WordPress.org, което може да доведе до това потребителите да получават предупреждения, дори ако използват оправена версия.

 

Източник: По материали от Интернет

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
Бъдете социални
Още по темата
03/09/2024

RansomHub Ransomware Group ...

Заплахи, свързани с групата RansomHub, са...
24/08/2024

Хакерите вече използват инж...

Вълната от атаки, започнала през юли...
16/08/2024

Банда за рансъмуер използва...

Операторите на рансъмуер RansomHub вече използват...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!