Bir tehdit oyuncusu, WordPress.org'da barındırılan en az beş eklentinin kaynak kodunu, bunları çalıştıran web sitelerinde yönetici ayrıcalıklarla yeni hesaplar oluşturan kötü amaçlı PHP komut dosyaları eklemek için değiştirdi.
Saldırı dün Wordfence Tehdit İstihbarat Ekibi tarafından keşfedildi, ancak kötü niyetli enjeksiyonlar geçen haftanın sonuna doğru 21 Haziran ile 22 Haziran arasında gerçekleşti.
WordFence ihlali keşfettiğinde, şirket eklenti geliştiricilerini bilgilendirdi ve bu da ürünlerin çoğu için dün yamaların piyasaya sürülmesine neden oldu.
Birlikte, beş eklenti 35.000'den fazla web sitesine yüklendi:
WordFence, tehdit oyuncusunun eklentilerin kaynak koduna nasıl erişmeyi başardığını bilmediğini, ancak bir soruşturma buna baktığını belirtiyor.
Saldırının daha fazla sayıda WordPress eklentisini etkilemesi mümkün olsa da, mevcut kanıtlar uzlaşmanın yukarıda belirtilen beş setiyle sınırlı olduğunu göstermektedir.
Enfekte eklentilerdeki kötü amaçlı kod, yeni yönetici hesapları oluşturmaya ve SEO spam'ı tehlikeye atılan web sitesine enjekte etmeye çalışır.
“Bu aşamada, enjekte edilen kötü amaçlı yazılımların yeni bir yönetim kullanıcı hesabı oluşturmaya çalıştığını ve daha sonra bu ayrıntıları saldırgan kontrollü sunucuya geri gönderdiğini biliyoruz” diye açıklıyor WordFence.
“Buna ek olarak, tehdit oyuncusu, web sitesi boyunca SEO spam eklediği görülen web sitelerinin altbilgisine kötü amaçlı JavaScript enjekte etti.”
Araştırmacılar, veriler 94.156.79 [.] 8 IP adresine iletilirken, keyfi olarak oluşturulan yönetici hesapları “Seçenekler” ve “Pluginauth” olarak adlandırılır.
Saldırganın IP adresine bu tür hesapları veya trafiği fark eden web sitesi sahipleri, eksiksiz bir kötü amaçlı yazılım taraması ve temizlik yapmalıdır.
WordFence, etkilenen eklentilerin bazılarının WordPress.org'dan geçici olarak listelendiğini ve bu da kullanıcıların yamalı bir sürüm kullansalar bile uyarılar almasına neden olabileceğini belirtiyor.
Tedarik Zinciri Saldırısında Backdoeded JAVS Mahkeme Salonu Kayıt Yazılımı
Bilgisayar korsanları WordPress Adims'i oluşturmak için Litespeed önbellek kusurundan yararlanıyor
Yeni Wpeeper Android kötü amaçlı yazılım, hacklenen WordPress sitelerinin arkasına saklanıyor
Polyfill, 'kara' olduğunu iddia ediyor, alan adının kapatılmasından sonra geri dönüyor
CloudFlare: Asla Polyfill.io'ya ismimizi kullanmaya izin vermedik
Kaynak: Bleeping Computer