WordPress 插件被安后门,用于发动供应链攻击
2024-6-26 17:35:1 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

威胁行动者修改了托管在 WordPress.org 上至少五款插件的源代码并加入恶意PHP脚本,在运行这些恶意脚本的网站上以管理员权限创建新账户。

该攻击由 Wordfence 威胁情报团队在昨天发现,不过恶意注入似乎在上周末即6月21日和22日之间就发生了。发现该活动后,Wordfence 立即通知插件开发人员,后者在昨天为多数产品发布了补丁。

如下5款插件被安装在超过3.5万个网站上:

  • Social Warfare 4.4.6.4至4.4.7.1 (在4.4.7.3版本中修复)

  • Blaze Widget 2.2.5 至2.5.2(在2.5.4版本中修复)

  • Wrapper Link Element 1.0.2 至1.0.3(在1.0.5版本中修复)

  • Contact Form 7 Multi-Step Addon 1.0.4至1.0.5(在1.0.7版本中修复)

  • Simply Show Hooks 1.2.1至1.2.2(尚无修复方案)

Wordfence 表示尚不清楚威胁行动者如何设法获得对这些插件源代码的访问权限,不过正在开展调查。尽管攻击可能影响更多数量的 WordPress 插件,但目前证据表明攻陷仅局限于此前提到的五款插件。

后门操作和IoC

受感染插件中的恶意代码试图创建新的管理员账户并将SEO垃圾内容注入受陷网站。

Wordfence 公司解释称,“目前,我们了解到受感染恶意软件试图创建新的管理员用户账户,之后将详情发送回受攻击者控制的服务器中。此外,威胁行动者似乎也将恶意 JavaScript 脚本注入网站页脚中,在整个网站中添加SEO垃圾信息。”研究人员表示,该数据被传输到 IP 地址94.156.79[.]8,而被任意创建的管理员账户被命名为 “Options” 和 “PluginAuth”。

如站长注意到此类账户或流入攻击者IP地址的流量,则应开展完整的恶意软件扫描和清理。Wordfence 公司表示,其中某些受影响的插件临时从 WordPress.org 下架,因此即使用户使用的是已修复版本但仍可能收到告警信息。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

英国内政大臣:维基解密创始人朱丽安·阿桑奇可被引渡到美国

只要公开否认俄罗斯入侵 DNC,阿桑奇就能获赦免?!

从此厄瓜多尔再无隐私:所有公民的个人详尽信息均遭泄露,维基解密创始人阿桑奇也受影响

美国起诉维基解密创始人阿桑奇违反间谍法

维基解密创始人朱利安•阿桑奇被捕后怎么样了?

原文链接

https://www.bleepingcomputer.com/news/security/plugins-on-wordpressorg-backdoored-in-supply-chain-attack/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519884&idx=2&sn=394599c6e622c656ae34d0c38cb671fa&chksm=ea94bfe6dde336f0971c21b57ed4c97af0185fd27f42cbe3f54350b5600357533a0d61ab1a94&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh