Widget-plugin spydde ut spam till intet ont anande offer
Hackare har använt ett WordPress-plugin för att installera bakdörrar på upp till 200 000 webbplatser, vilket tillåter att spam laddas upp på intet ont anande webbplatser.
Enligtforskningutförs av IT-säkerhetsföretaget WordFence, bör plugin, känd som Display Widgets, tas bort omedelbart av webbplatsägare. Företaget sa att de tre senaste versionerna av pluginet har innehållit kod som gör att författaren kan publicera allt innehåll på en påverkad webbplats.
"Författarna till detta plugin har använt bakdörren för att publicera spaminnehåll till webbplatser som kör deras plugin. Under de senaste tre månaderna har plugin-programmet tagits bort och återsläppts till WordPress.org-pluginförrådet totalt fyra gånger”, säger Mark Maunder, VD för WordFence.
Maunder sa att insticksprogrammet ursprungligen utvecklades av dess ursprungliga författare som ett plugin med öppen källkod men såldes sedan till andra den 21 juni. En uppdaterad version, 2.6.0 släpptes av sin nya ägare omedelbart. WordFence informerades av David Law, en brittisk SEO-konsult, att widgeten hade börjat installera ytterligare kod och sedan börjat ladda ner data från Laws på servern.
Den 23 juni tog WordFence bort Display Widget, och en vecka senare släppte den nya ägaren version 2.6.1 av plugin-programmet. Den här versionen innehöll en fil som heter geolocation.php som, ingen insåg vid den tiden, innehöll skadlig kod. Den här koden gjorde det möjligt för plugin-författaren att lägga upp nytt innehåll på vilken webbplats som helst som kör plugin-programmet, till en webbadress som de själv valt.
"Dessutom hindrade den skadliga koden alla inloggade användare från att se innehållet. Med andra ord skulle webbplatsägare inte se det skadliga innehållet. David Law kontaktade återigen plugin-teamet och lät dem veta att plugin-programmet loggar besök på varje webbplats till en extern server, vilket har konsekvenser för integriteten, säger Maunder.
Den 1 juli drogs plugin-programmet från WordPress-förvaret, men följdes sedan av version 2.6.2 den 6 juli. Återigen, inkluderade den skadliga koden som hänvisas till ovan som fortfarande hade gått obemärkt förbi av någon.
Det var den 23 juli när en användare, vid namn Calvin Nganöppnade en Trac-biljettrapporteringatt Display Widgets injicerade spaminnehåll på hans webbplats. Han inkluderade en länk till Google-resultat som hade indexerat skräpposten och sa att den skadliga koden finns i geolocation.php.
I september släpptes version 2.6.3 av plugin och den innehöll samma skadliga kod. Förra veckan, en forumanvändare på WordPress.orgrapporteradatt spam har injicerats på deras webbplats på supportforumet för Display Widgets plugin.
"Författarna av pluginet underhåller aktivt sin skadliga kod, växlar mellan källor för skräppost och arbetar för att fördunkla (dölja) domänen de hämtar skräppost från", sa Maunder.
Widgeten togs bort permanent den 8 september, men Maunder spårade upp plugins nya köpare till en tjänst som heter WP Devs, som köper gamla och övergivna plugins.
Hans undersökningar visade att företaget verkar drivas av en person i USA och möjligen en annan i Östeuropa, att döma av språkliga fel av affischen.
Maunder sa att människor i WordPress-communityt inte borde "starta några häxjakter".
"Ibland byter plugins ägare och mycket sällan går det inte bra. Det verkar vara vad som hände i det här fallet, säger han.