Bl0ckch41nnewsPlugins oficiales de WordPress contienen puerta trasera en un ataque a la cadena de suministro
Un actor de amenazas modificó el código fuente de al menos cinco
complementos alojados en WordPress.org para incluir scripts PHP maliciosos que
crean nuevas cuentas con privilegios administrativos en los sitios web que los
ejecutan.
El ataque fue descubierto ayer por el equipo de Wordfence Threat Intelligence,
pero las inyecciones maliciosas parecen haber ocurrido hacia el final de la
semana pasada, entre el 21 y el 22 de junio.
Tan pronto como
Wordfence descubrió la infracción, la compañía notificó a los desarrolladores de los complementos, lo que
resultó en que ayer se lanzaron parches para la mayoría de los productos.
Juntos, los cinco complementos se han instalado en más de 35.000 sitios web:
-
Social Warfare
4.4.6.4 to 4.4.7.1 (corregido versión 4.4.7.3) -
Blaze Widget
2.2.5 to 2.5.2 (corregido versión 2.5.4) -
Wrapper Link Element
1.0.2 to 1.0.3 (corregido versión 1.0.5) -
Contact Form 7 Multi-Step Addon
1.0.4 to 1.0.5 (corregido versión 1.0.7) -
Simply Show Hooks
1.2.1 to 1.2.2 (aún no hay solución disponible)
Wordfence señala que no sabe cómo el actor de la amenaza logró acceder al
código fuente de los complementos, pero se está investigando.
Aunque es posible que el ataque afecte a una mayor cantidad de complementos de
WordPress, la evidencia actual sugiere que el ataque se limita al conjunto de
cinco mencionado anteriormente.
Operación de puerta trasera y IoC
El código malicioso de los complementos infectados intenta crear nuevas
cuentas de administrador e inyectar spam de SEO en el sitio web comprometido.
«En esta etapa, sabemos que el malware inyectado intenta crear una nueva
cuenta de usuario administrativo y luego envía esos detalles al servidor
controlado por el atacante», explica Wordfence.
«Además, parece que el actor de amenazas también inyectó JavaScript
malicioso en el pie de página de los sitios web, lo que parece agregar spam
de SEO en todo el sitio web».
Los datos se transmiten a la dirección IP 94.156.79[.]8, mientras que las
cuentas de administrador creadas arbitrariamente se denominan
«Options» y «PluginAuth», dicen los investigadores.
Los propietarios de sitios web que detecten dichas cuentas o tráfico a la
dirección IP del atacante deben realizar un análisis y limpieza completos de
malware.
Wordfence señala que algunos de los complementos afectados fueron eliminados
temporalmente de la lista de WordPress.org, lo que puede provocar que los
usuarios reciban advertencias incluso si usan una versión parcheada.
Fuente:
BC
Los comentarios están cerrados.