Um ator malicioso modificou o código-fonte de pelo menos cinco plugins hospedados no WordPress.org para incluir scripts PHP maliciosos que criam novas contas com privilégios administrativos nos sites que os utilizam.
A equipe de Inteligência de Ameaças da Wordfence descobriu o ataque ontem, mas as injeções maliciosas parecem ter ocorrido no final da semana passada, entre 21 e 22 de junho.
Assim que a Wordfence descobriu a violação, a empresa notificou os desenvolvedores dos plugins, o que resultou no lançamento de correções ontem para a maioria dos produtos.
Juntos, os cinco plugins foram instalados em mais de 35.000 sites wordpress:
- Social Warfare 4.4.6.4 a 4.4.7.1 (corrigido na versão 4.4.7.3)
- Blaze Widget 2.2.5 a 2.5.2 (corrigido na versão 2.5.4)
- Wrapper Link Element 1.0.2 a 1.0.3 (corrigido na versão 1.0.5)
- Contact Form 7 Multi-Step Addon 1.0.4 a 1.0.5 (corrigido na versão 1.0.7)
- Simply Show Hooks 1.2.1 a 1.2.2 (sem correção disponível ainda)
- A Wordfence observa que não sabe como o ator malicioso conseguiu acessar o código-fonte dos plugins, mas uma investigação está em andamento.
Embora seja possível que o ataque impacte um número maior de plugins do WordPress, as evidências atuais sugerem que a violação está limitada ao conjunto mencionado de cinco plugins.
Operação de backdoor e IoCs
O código malicioso nos plugins infectados tenta criar novas contas de administrador e injetar spam de SEO no site comprometido.
Nesta fase, sabemos que o malware injetado tenta criar uma nova conta de usuário administrativo e depois envia esses detalhes de volta para o servidor controlado pelo atacante, explica a Wordfence.
Além disso, parece que o ator malicioso também injetou JavaScript malicioso no rodapé dos sites, o que parece adicionar spam de SEO por todo o site.
Os dados são transmitidos para o endereço IP 94.156.79[.]8, enquanto as contas de administrador criadas arbitrariamente são nomeadas “Options” e “PluginAuth,” dizem os pesquisadores.
Proprietários de sites que notarem tais contas ou tráfego para o endereço IP do atacante devem realizar uma varredura completa de malware e limpeza.
Se você tem algum desses plugins instalados, deve considerar sua instalação comprometida e entrar imediatamente em modo de resposta a incidentes. – Wordfence.
A Wordfence observa que alguns dos plugins do WordPress afetados foram temporariamente removidos do WordPress.org, o que pode resultar em avisos para os usuários, mesmo que estejam usando uma versão corrigida.
Escrito com informações da Bleeping Computer
