Кілька плагінів WordPress були заражені шкідливим кодом, який дозволяє створювати фальшиві облікові записи адміністраторів з метою виконання довільних дій.
“Впроваджене шкідливе ПЗ намагається створити новий обліковий запис адміністратора і потім відправляє ці дані на сервер, контрольований зловмисниками,” сказала дослідниця безпеки Wordfence Хлоя Чемберлен у понеділок.
“Крім того, здається, що зловмисник також впровадив шкідливий JavaScript у нижній колонтитул вебсайтів, що додає SEO-спам по всьому сайту.”
Облікові записи адміністраторів мають імена користувачів “Options” та “PluginAuth,” з інформацією про облікові записи, передану на IP-адресу 94.156.79[.]8.
Поки що невідомо, як невідомі зловмисники, що стоять за цією кампанією, змогли скомпрометувати плагіни, але перші ознаки атаки на ланцюг поставок програмного забезпечення датуються 21 червня 2024 року.
Згадані плагіни більше недоступні для завантаження з каталогу плагінів WordPress до завершення перевірки:
- Social Warfare 4.4.6.4 – 4.4.7.1 (Виправлена версія: 4.4.7.3) – 30,000+ встановлень
- Blaze Widget 2.2.5 – 2.5.2 (Виправлена версія: N/A) – 10+ встановлень
- Wrapper Link Element 1.0.2 – 1.0.3 (Виправлена версія: N/A) – 1,000+ встановлень
- Contact Form 7 Multi-Step Addon 1.0.4 – 1.0.5 (Виправлена версія: N/A) – 700+ встановлень
- Simply Show Hooks 1.2.1 (Виправлена версія: N/A) – 4,000+ встановлень
Користувачам згаданих плагінів рекомендується перевірити свої сайти на наявність підозрілих облікових записів адміністраторів і видалити їх, а також видалити будь-який шкідливий код.
