Um ator de ameaça modificou o código-fonte de pelo menos cinco plugins hospedados no WordPress.org para incluir scripts PHP maliciosos que criam novas contas com privilégios administrativos em sites que os utilizam.
O ataque foi descoberto pela equipe de Threat Intelligence do Wordfence ontem, mas as injeções maliciosas parecem ter ocorrido no final da semana passada, entre 21 e 22 de junho.
Assim que o Wordfence descobriu a violação, a empresa notificou os desenvolvedores dos plugins, o que resultou na liberação de patches ontem para a maioria dos produtos.
Juntos, os cinco plugins têm sido instalados em mais de 35.000 sites:
- Social Warfare 4.4.6.4 a 4.4.7.1 (corrigido na versão 4.4.7.3)
- Blaze Widget 2.2.5 a 2.5.2 (corrigido na versão 2.5.4)
- Wrapper Link Element 1.0.2 a 1.0.3 (corrigido na versão 1.0.5)
- Contact Form 7 Multi-Step Addon 1.0.4 a 1.0.5 (corrigido na versão 1.0.7)
- Simply Show Hooks 1.2.1 a 1.2.2 (ainda sem correção disponível)
O Wordfence observa que ainda não sabe como o ator de ameaça conseguiu acessar o código-fonte dos plugins, mas uma investigação está em curso.
Embora seja possível que o ataque impacte um número maior de plugins do WordPress, as evidências atuais sugerem que o comprometimento está limitado ao conjunto mencionado de cinco.
O código malicioso nos plugins infectados tenta criar novas contas de admin e injetar spam de SEO no site comprometido.
“Neste estágio, sabemos que o malware injetado tenta criar uma nova conta de usuário administrativo e, em seguida, envia esses detalhes de volta para o servidor controlado pelo atacante”, explica o Wordfence.
Além disso, parece que o ator de ameaça também injetou JavaScript malicioso no rodapé dos sites, que parece adicionar spam de SEO por todo o site.
Os dados são transmitidos para o endereço IP 94.156.79[.]8, enquanto as contas admin criadas arbitrariamente são nomeadas “Options” e “PluginAuth”, dizem os pesquisadores.
Os proprietários de sites que notarem tais contas ou tráfego para o endereço IP do atacante devem realizar uma varredura completa de malware e limpeza.
O Wordfence observa que alguns dos plugins impactados foram temporariamente retirados do WordPress.org, o que pode resultar em avisos para os usuários mesmo se eles usarem uma versão corrigida.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...