Несколько плагинов WordPress были заражены вредоносным кодом, который позволяет создавать фальшивые учетные записи администраторов с целью выполнения произвольных действий.
«Внедренное вредоносное ПО пытается создать новую учетную запись администратора и затем отправляет эти данные на сервер, контролируемый злоумышленниками,» сказала исследователь безопасности Wordfence Хлоя Чемберлен в понедельник.
«Кроме того, кажется, что злоумышленник также внедрил вредоносный JavaScript в нижний колонтитул вебсайтов, что добавляет SEO-спам по всему сайту.»
Учетные записи администраторов имеют имена пользователей «Options» и «PluginAuth,» с информацией об учетных записях, переданной на IP-адрес 94.156.79[.]8.
Пока что неизвестно, как неизвестные злоумышленники, стоящие за этой кампанией, смогли скомпрометировать плагины, но первые признаки атаки на цепочку поставок программного обеспечения датируются 21 июня 2024 года.
Указанные плагины больше недоступны для загрузки из каталога плагинов WordPress до завершения проверки:
- Social Warfare 4.4.6.4 – 4.4.7.1 (Исправленная версия: 4.4.7.3) — 30,000+ установок
- Blaze Widget 2.2.5 – 2.5.2 (Исправленная версия: N/A) — 10+ установок
- Wrapper Link Element 1.0.2 – 1.0.3 (Исправленная версия: N/A) — 1,000+ установок
- Contact Form 7 Multi-Step Addon 1.0.4 – 1.0.5 (Исправленная версия: N/A) — 700+ установок
- Simply Show Hooks 1.2.1 (Исправленная версия: N/A) — 4,000+ установок
Пользователям указанных плагинов рекомендуется проверить свои сайты на наличие подозрительных учетных записей администраторов и удалить их, а также удалить любой вредоносный код.
