На сайти WordPress відбулась масована хакерська атака через зламані плагіни

Відбулась кібератака на сайти WordPress. Зловмисник змінив вихідний код щонайменше п'яти плагінів, розміщених на WordPress.org, включивши в них шкідливі PHP-скрипти, які створюють нові облікові записи з адміністративними привілеями на вебсайтах, що їх використовують. Про це повідомляє Bleeping Computer.

Атака була виявлена командою Wordfence Threat Intelligence, але відбувалась вона 21 та 22 червня.

Як тільки Wordfence виявила вразливість, компанія повідомила про це розробників плагінів, в результаті чого 24 червня були випущені патчі для більшості з цих плагінів.

Разом ці п'ять плагінів було встановлено на понад 35 000 вебсайтів:

• Social Warfare 4.4.6.4 до 4.4.7.1 (виправлено у версії 4.4.7.3)
• Blaze Widget 2.2.5 до 2.5.2 (виправлено у версії 2.5.4)
• Wrapper Link Element 1.0.2 до 1.0.3 (виправлено у версії 1.0.5)
• Contact Form 7 Multi-Step Addon 1.0.4 - 1.0.5 (виправлено у версії 1.0.7)
• Simply Show Hooks 1.2.1 - 1.2.2 (патч ще не готовий)

Wordfence зазначає, що не знає, як зловмисник отримав доступ до вихідного коду плагінів, але проводить розслідування.

Хоча цілком можливо, що атака впливає на більшу кількість плагінів WordPress, поточні дані свідчать про те, що компрометація обмежується вищезгаданим набором з п'яти плагінів.

Шкідливий код у заражених плагінах намагається створити нові облікові записи адміністратора та впровадити SEO-спам на скомпрометований вебсайт.

"Крім того, схоже, що зловмисник також впровадив JavaScript у нижній колонтитул вебсайтів, який додає SEO-спам на весь вебсайт".

Дані передаються на IP-адресу 94.156.79[.]8, а довільно створені облікові записи адміністраторів називаються "Options" і "PluginAuth", кажуть дослідники.

Власники вебсайтів, які помітили такі облікові записи або трафік на IP-адресу зловмисника, повинні провести перевірку своїх ресурсів.