Un actor de amenazas modificó el código fuente de al menos cinco complementos alojados en WordPress.org para incluir scripts PHP maliciosos que crean nuevas cuentas con privilegios administrativos en los sitios web que los ejecutan.
El ataque fue descubierto ayer por el equipo de Wordfence Threat Intelligence, pero las inyecciones maliciosas parecen haber ocurrido hacia el final de la semana pasada, entre el 21 y el 22 de junio.
Tan pronto como Wordfence descubrió la infracción, la compañía notificó a los desarrolladores de los complementos, lo que resultó en que ayer se lanzaron parches para la mayoría de los productos.
Juntos, los cinco complementos se han instalado en más de 35.000 sitios web:
- Social Warfare 4.4.6.4 to 4.4.7.1 (corregido versión 4.4.7.3)
- Blaze Widget 2.2.5 to 2.5.2 (corregido versión 2.5.4)
- Wrapper Link Element 1.0.2 to 1.0.3 (corregido versión 1.0.5)
- Contact Form 7 Multi-Step Addon 1.0.4 to 1.0.5 (corregido versión 1.0.7)
- Simply Show Hooks 1.2.1 to 1.2.2 (aún no hay solución disponible)
Wordfence señala que no sabe cómo el actor de la amenaza logró acceder al código fuente de los complementos, pero se está investigando.
Aunque es posible que el ataque afecte a una mayor cantidad de complementos de WordPress, la evidencia actual sugiere que el ataque se limita al conjunto de cinco mencionado anteriormente.
Operación de puerta trasera y IoC
El código malicioso de los complementos infectados intenta crear nuevas cuentas de administrador e inyectar spam de SEO en el sitio web comprometido.
Los propietarios de sitios web que detecten dichas cuentas o tráfico a la dirección IP del atacante deben realizar un análisis y limpieza completos de malware.
Wordfence señala que algunos de los complementos afectados fueron eliminados temporalmente de la lista de WordPress.org, lo que puede provocar que los usuarios reciban advertencias incluso si usan una versión parcheada.
Fuente: elhacker.net