افزونه‌های وردپرس تحت حمله

افزونه‌های وردپرس تحت حمله: ایجاد حساب‌های کاربری مخرب با هدف اقدامات غیرمجاز

مشخصات حمله

چندین افزونه وردپرس به‌تازگی به کدهای مخرب آلوده شده‌اند که امکان ایجاد حساب‌های کاربری مدیر مخرب را فراهم می‌کند. این حساب‌های کاربری به‌منظور انجام اقدامات غیرمجاز ایجاد می‌شوند.

جزئیات حمله

به گفته «کلوئی چمبرلند»، محقق امنیتی شرکت Wordfence، «بدافزار تزریق شده تلاش می‌کند یک حساب کاربری مدیر جدید ایجاد کرده و سپس اطلاعات آن را به سرور تحت کنترل مهاجم ارسال کند.»

تزریق کدهای مخرب

به نظر می‌رسد که عامل تهدید همچنین کدهای مخرب جاوا اسکریپت را در بخش پایینی وبسایت‌ها تزریق کرده که این کدها به انتشار اسپم‌های SEO در سراسر وبسایت کمک می‌کنند.

امنیت سایبری

حساب‌های مدیریتی با نام‌های کاربری “Options” و “PluginAuth” ایجاد شده‌اند و اطلاعات حساب‌ها به آدرس IP 94.156.79[.]8 ارسال شده است.

روش نفوذ

هنوز مشخص نیست که مهاجمان ناشناس چگونه موفق به نفوذ به افزونه‌ها شده‌اند، اما اولین نشانه‌های حمله به زنجیره تامین نرم‌افزار به تاریخ 21 ژوئن 2024 باز می‌گردد.

افزونه‌های آلوده

افزونه‌های آلوده دیگر در دسترس دانلود از دایرکتوری افزونه‌های وردپرس نیستند و در حال بررسی بیشتر هستند:

• Social Warfare 4.4.6.4 – 4.4.7.1 (نسخه اصلاح‌شده: 4.4.7.3) – بیش از 30,000 نصب
• Blaze Widget 2.2.5 – 2.5.2 (نسخه اصلاح‌شده: ندارد) – بیش از 10 نصب
• Wrapper Link Element 1.0.2 – 1.0.3 (نسخه اصلاح‌شده: ندارد) – بیش از 1,000 نصب
• Contact Form 7 Multi-Step Addon 1.0.4 – 1.0.5 (نسخه اصلاح‌شده: ندارد) – بیش از 700 نصب
• Simply Show Hooks 1.2.1 (نسخه اصلاح‌شده: ندارد) – بیش از 4,000 نصب

اقدامات پیشنهادی

به کاربران افزونه‌های مذکور توصیه می‌شود که سایت‌های خود را از نظر حساب‌های کاربری مدیر مشکوک بررسی و آن‌ها را حذف کنند و همچنین هر گونه کد مخرب را از سایت خود پاک نمایند.