افزونههای وردپرس تحت حمله: ایجاد حسابهای کاربری مخرب با هدف اقدامات غیرمجاز
مشخصات حمله
چندین افزونه وردپرس بهتازگی به کدهای مخرب آلوده شدهاند که امکان ایجاد حسابهای کاربری مدیر مخرب را فراهم میکند. این حسابهای کاربری بهمنظور انجام اقدامات غیرمجاز ایجاد میشوند.
جزئیات حمله
به گفته «کلوئی چمبرلند»، محقق امنیتی شرکت Wordfence، «بدافزار تزریق شده تلاش میکند یک حساب کاربری مدیر جدید ایجاد کرده و سپس اطلاعات آن را به سرور تحت کنترل مهاجم ارسال کند.»
تزریق کدهای مخرب
به نظر میرسد که عامل تهدید همچنین کدهای مخرب جاوا اسکریپت را در بخش پایینی وبسایتها تزریق کرده که این کدها به انتشار اسپمهای SEO در سراسر وبسایت کمک میکنند.
امنیت سایبری
حسابهای مدیریتی با نامهای کاربری “Options” و “PluginAuth” ایجاد شدهاند و اطلاعات حسابها به آدرس IP 94.156.79[.]8 ارسال شده است.
روش نفوذ
هنوز مشخص نیست که مهاجمان ناشناس چگونه موفق به نفوذ به افزونهها شدهاند، اما اولین نشانههای حمله به زنجیره تامین نرمافزار به تاریخ 21 ژوئن 2024 باز میگردد.
افزونههای آلوده
افزونههای آلوده دیگر در دسترس دانلود از دایرکتوری افزونههای وردپرس نیستند و در حال بررسی بیشتر هستند:
- Social Warfare 4.4.6.4 – 4.4.7.1 (نسخه اصلاحشده: 4.4.7.3) – بیش از 30,000 نصب
- Blaze Widget 2.2.5 – 2.5.2 (نسخه اصلاحشده: ندارد) – بیش از 10 نصب
- Wrapper Link Element 1.0.2 – 1.0.3 (نسخه اصلاحشده: ندارد) – بیش از 1,000 نصب
- Contact Form 7 Multi-Step Addon 1.0.4 – 1.0.5 (نسخه اصلاحشده: ندارد) – بیش از 700 نصب
- Simply Show Hooks 1.2.1 (نسخه اصلاحشده: ندارد) – بیش از 4,000 نصب
اقدامات پیشنهادی
به کاربران افزونههای مذکور توصیه میشود که سایتهای خود را از نظر حسابهای کاربری مدیر مشکوک بررسی و آنها را حذف کنند و همچنین هر گونه کد مخرب را از سایت خود پاک نمایند.