WordPress.org и Wordfence опубликовали предупреждения о хакерах, добавляющих вредоносный код в плагины в источнике, что приводит к широкому распространению заражений через обновления.
Содержание
Пять скомпрометированных плагинов… на сегодняшний день
Обычно происходит следующее: плагин содержит уязвимость (уязвимость), которая позволяет злоумышленнику скомпрометировать отдельные сайты, использующие эту версию плагина. Но эти компромиссы отличаются тем, что сами плагины не содержат уязвимостей. Злоумышленники внедряют вредоносный код непосредственно в источник плагина, вызывая обновление, которое затем распространяется на все сайты, использующие плагин.
Wordfence впервые заметил один плагин, содержащий вредоносный код. Загрузив данные в свою базу данных, они обнаружили еще четыре плагина, скомпрометированных аналогичным вредоносным кодом. Wordfence немедленно уведомил WordPress о своих выводах.
Wordfence поделился подробностями о затронутых плагинах:
«Социальная война 4.4.6.4 – 4.4.7.1
Исправленная версия: 4.4.7.3Виджет «Вспышка» 2.2.5 – 2.5.2
Исправленная версия: нетЭлемент ссылки оболочки 1.0.2 – 1.0.3
Исправленная версия: Похоже, что кто-то удалил вредоносный код, однако последняя версия помечена как 1.0.0, что ниже, чем зараженные версии. Это означает, что может быть сложно обновиться до последней версии, поэтому мы рекомендуем удалить плагин до тех пор, пока не будет выпущена версия с правильными тегами.Контактная форма 7 Многошаговое дополнение 1.0.4 – 1.0.5
Исправленная версия: нетПросто покажите крючки 1.2.1
Исправленная версия Нет»
WordPress отключил все пять плагинов непосредственно в официальном репозитории плагинов и опубликовал на каждой странице плагина уведомление о том, что они закрыты и недоступны.
Снимок экрана исключенного из списка плагина WordPress
Зараженные плагины создают мошеннические учетные записи администраторов, которые подключаются к серверу. Атакованные веб-сайты заменяются спам-ссылками SEO, которые добавляются в нижний колонтитул. Сложные вредоносные программы бывает трудно обнаружить, поскольку хакеры активно пытаются скрыть свой код так, что, например, код выглядит как строка цифр, а вредоносный код запутывается. Wordfence отметил, что это конкретное вредоносное ПО не было сложным и его было легко идентифицировать и отследить.
Wordfence сделал следующее наблюдение относительно этого любопытного качества вредоносного ПО:
«Внедренный вредоносный код не является очень сложным или сильно запутанным и содержит комментарии, что упрощает отслеживание. Самая ранняя инъекция, судя по всему, датируется 21 июня 2024 года, а злоумышленник все еще активно обновлял плагины всего 5 часов назад».
Рекомендации по проблемам WordPress в отношении скомпрометированных плагинов
В рекомендациях WordPress говорится, что злоумышленники идентифицируют разработчиков плагинов, которые имеют «доступ к коммиттеру» (это означает, что они могут передать код в плагин), а затем на следующем этапе они используют учетные данные из других утечек данных, которые совпадают с этими разработчиками. Хакеры используют эти учетные данные для прямого доступа к плагину на уровне кода и внедрения своего вредоносного кода.
WordPress объяснил:
«23 и 24 июня 2024 года пять учетных записей пользователей WordPress.org были скомпрометированы злоумышленником, пытавшимся использовать комбинации имени пользователя и пароля, которые ранее были скомпрометированы в результате утечки данных на других веб-сайтах. Злоумышленник использовал доступ к этим 5 учетным записям для выпуска вредоносных обновлений для 5 плагинов, к которым у этих пользователей был доступ коммиттера.
…Команда плагинов выпустила обновления безопасности для затронутых плагинов для защиты безопасности пользователей».
Вина этих компромиссов, очевидно, лежит на методах безопасности разработчиков плагинов. Официальное объявление WordPress напомнило разработчикам плагинов о лучших практиках, которые следует использовать для предотвращения подобных компромиссов.
Как узнать, скомпрометирован ли ваш сайт?
На данный момент известно только пять плагинов, скомпрометированных этим конкретным вредоносным кодом. Wordfence сообщил, что хакеры создают администраторов с именами пользователей «Options» или «PluginAuth», поэтому один из способов дважды проверить, не взломан ли сайт, может заключаться в поиске новых учетных записей администраторов, особенно с такими именами пользователей.
Wordfence рекомендовал затронутым сайтам, использующим любой из пяти плагинов, удалить мошеннические учетные записи пользователей уровня администратора, запустить сканирование на наличие вредоносных программ с помощью плагина Wordfence и удалить вредоносный код.
Кто-то в комментариях спросил, стоит ли им беспокоиться, даже если они не используют ни один из пяти плагинов».
«Как вы думаете, нам нужно беспокоиться о других обновлениях плагинов? Или это ограничивалось этими пятью плагинами».
Хлоя Чемберленд, руководитель отдела анализа угроз в Wordfence, ответила:
«Привет, Элизабет, на данный момент, похоже, он изолирован только от этих 5 плагинов, поэтому я не буду слишком беспокоиться о других обновлениях плагинов. Однако из соображений предосторожности я бы рекомендовал проверять наборы изменений любых обновлений плагинов перед их обновлением на любых сайтах, которые вы запускаете, чтобы убедиться в отсутствии вредоносного кода».
Двое других комментаторов отметили, что у них была по крайней мере одна мошенническая учетная запись администратора на сайтах, которые не использовали ни один из пяти известных затронутых плагинов. В настоящее время неизвестно, затронуты ли какие-либо другие плагины.
Прочтите рекомендацию Wordfence и объяснение того, что происходит:
Прочтите официальное объявление WordPress.org:
Обеспечение безопасности ваших учетных записей коммиттеров плагинов
Рекомендованное изображение: Shutterstock/Algonga
