Неизвестные хакеры смогли внедрить вредоносный код в исходники нескольких популярных плагинов для WordPress, доступных на официальном сайте платформы – WordPress.org. Специалисты по кибербезопасности из компании Wordfence, которые первыми обнаружили эту атаку, сообщают, что злоумышленники модифицировали PHP-скрипты плагинов, добавив в них бэкдор. Этот бэкдор позволил создать учетные записи администраторов на более чем 36 тысячах сайтов, где были установлены зараженные плагины.
По данным исследователей, вредоносные инъекции были сделаны в период с 21 по 22 июня 2024 года. Сразу после обнаружения проблемы, эксперты Wordfence оповестили разработчиков пострадавших плагинов, и на данный момент для большинства из них уже выпущены исправления.
Среди взломанных плагинов оказались: Social Warfare (более 30 000 установок), BLAZE Retail Widget (10 установок), Wrapper Link Elementor (1000 установок), Contact Form 7 Multi-Step Addon (700 установок) и Simply Show Hooks (4000 установок). Для всех, кроме последнего, уже доступны обновления, устраняющие уязвимость.
Специалисты пока не выяснили, каким образом злоумышленники получили доступ к исходному коду плагинов, и продолжают расследование инцидента.
Хакеры использовали бэкдор для создания новых учетных записей с правами администратора, данные которых затем отправлялись на подконтрольный им сервер с IP-адресом 94.156.79[.]8. Новые аккаунты, как правило, имели названия Options и PluginAuth.
Кроме того, на взломанные сайты внедрялся вредоносный JavaScript-код, который добавлял SEO-спам на все страницы ресурса.
Wordfence настоятельно рекомендует владельцам сайтов, использующим уязвимые плагины, считать свои ресурсы скомпрометированными и немедленно принять меры по реагированию на инцидент.
Также стоит отметить, что некоторые плагины могут быть временно недоступны для скачивания на WordPress.org, что может привести к ложным предупреждениям даже для пользователей, уже обновивших плагины до безопасных версий.
