Um ator malicioso modificou o código-fonte de pelo menos cinco plugins hospedados no WordPress.org para incluir scripts PHP maliciosos que criam novas contas com privilégios administrativos nos sites que os utilizam.

A equipe de Inteligência de Ameaças da Wordfence descobriu o ataque ontem, mas as injeções maliciosas parecem ter ocorrido no final da semana passada, entre 21 e 22 de junho.

Assim que a Wordfence descobriu a violação, a empresa notificou os desenvolvedores dos plugins, o que resultou no lançamento de correções ontem para a maioria dos produtos.

Juntos, os cinco plugins foram instalados em mais de 35.000 sites wordpress:

  • Social Warfare 4.4.6.4 a 4.4.7.1 (corrigido na versão 4.4.7.3)
  • Blaze Widget 2.2.5 a 2.5.2 (corrigido na versão 2.5.4)
  • Wrapper Link Element 1.0.2 a 1.0.3 (corrigido na versão 1.0.5)
  • Contact Form 7 Multi-Step Addon 1.0.4 a 1.0.5 (corrigido na versão 1.0.7)
  • Simply Show Hooks 1.2.1 a 1.2.2 (sem correção disponível ainda)
  • A Wordfence observa que não sabe como o ator malicioso conseguiu acessar o código-fonte dos plugins, mas uma investigação está em andamento.

Embora seja possível que o ataque impacte um número maior de plugins do WordPress, as evidências atuais sugerem que a violação está limitada ao conjunto mencionado de cinco plugins.

Operação de backdoor e IoCs

O código malicioso nos plugins infectados tenta criar novas contas de administrador e injetar spam de SEO no site comprometido.

Nesta fase, sabemos que o malware injetado tenta criar uma nova conta de usuário administrativo e depois envia esses detalhes de volta para o servidor controlado pelo atacante, explica a Wordfence.

Além disso, parece que o ator malicioso também injetou JavaScript malicioso no rodapé dos sites, o que parece adicionar spam de SEO por todo o site.

Os dados são transmitidos para o endereço IP 94.156.79[.]8, enquanto as contas de administrador criadas arbitrariamente são nomeadas "Options" e "PluginAuth," dizem os pesquisadores.

Proprietários de sites que notarem tais contas ou tráfego para o endereço IP do atacante devem realizar uma varredura completa de malware e limpeza.

Se você tem algum desses plugins instalados, deve considerar sua instalação comprometida e entrar imediatamente em modo de resposta a incidentes. – Wordfence.

A Wordfence observa que alguns dos plugins do Wordpress afetados foram temporariamente removidos do WordPress.org, o que pode resultar em avisos para os usuários, mesmo que estejam usando uma versão corrigida.

Escrito com informações da Bleeping Computer