Segundo a equipe do Wordfence Threat Intelligence, 5 plug-ins hospedados no WordPress.org foram adulterados para incluir scripts PHP maliciosos.
WordPress é um sistema livre e aberto de gestão de conteúdo para internet, baseado em PHP com banco de dados MySQL e MariaDB, executado em um servidor interpretador, voltado principalmente para a criação de páginas eletrônicas e blogs online.
Esse CMS ( Sistema de gerenciamento de conteúdo) é usado por milhares de sites atualmente.
Agora, um agente de ameaça modificou o código-fonte de pelo menos cinco plug-ins hospedados no WordPress.org para incluir scripts PHP maliciosos que criam novas contas com privilégios administrativos em sites que os executam.
5 plug-ins hospedados no WordPress.org foram adulterados
Sim. 5 plug-ins hospedados no WordPress.org foram adulterados para fins maliciosos. O ataque foi descoberto ontem pela equipe do Wordfence Threat Intelligence, mas as injeções maliciosas parecem ter ocorrido no final da semana passada, entre 21 e 22 de junho.
Assim que o Wordfence descobriu a violação, a empresa notificou os desenvolvedores do plugin, o que resultou no lançamento de patches para a maioria dos produtos.
Juntos, os cinco plugins foram instalados em mais de 35.000 sites:
- Social Warfare 4.4.6.4 a 4.4.7.1 (corrigido na versão 4.4.7.3)
- Blaze Widget 2.2.5 a 2.5.2 (corrigido na versão 2.5.4)
- Wrapper Link Element 1.0.2 a 1.0.3 (corrigido na versão 1.0.5)
- Contact Form 7 Multi-Step Addon 1.0.4 a 1.0.5 (corrigido na versão 1.0.7)
- Simply Show Hooks 1.2.1 a 1.2.2 (nenhuma correção disponível ainda)
O Wordfence observa que não sabe como o autor da ameaça conseguiu obter acesso ao código-fonte dos plug-ins, mas uma investigação está investigando.
Embora seja possível que o ataque afete um número maior de plug-ins do WordPress, as evidências atuais sugerem que o comprometimento está limitado ao conjunto de cinco mencionado acima.
O código malicioso nos plug-ins infectados tenta criar novas contas de administrador e injetar spam de SEO no site comprometido.
“Nesta fase, sabemos que o malware injetado tenta criar uma nova conta de usuário administrativo e depois envia esses detalhes de volta ao servidor controlado pelo invasor”, explica Wordfence.
“Além disso, parece que o agente da ameaça também injetou JavaScript malicioso no rodapé dos sites, o que parece adicionar spam de SEO em todo o site.”
Os dados são transmitidos para o endereço IP 94.156.79[.]8, enquanto as contas de administrador criadas arbitrariamente são denominadas “Options” e “PluginAuth”, dizem os pesquisadores.
Os proprietários de sites que perceberem tais contas ou tráfego para o endereço IP do invasor devem realizar uma verificação e limpeza completa do malware.
“Se você tiver algum desses plug-ins instalados, considere sua instalação comprometida e entre imediatamente no modo de resposta a incidentes.” – Wordfence.
O Wordfence observa que alguns dos plug-ins afetados foram temporariamente removidos do WordPress.org, o que pode fazer com que os usuários recebam avisos mesmo que usem uma versão corrigida.