Шкідливий плагін WordPress встановлював бекдор на тисячі веб-сайтів

Плагін для віджетів розповсюдив спам на невибагливих жертв

Хакери використали плагін WordPress для встановлення бекдорів на веб-сайтах 200,000, а всі спам-повідомлення будуть завантажені на веб-сайти, які не підозрюють.

Відповідно до дослідження що виконується фірмою Word Security, яка займається інформаційною безпекою, плагін, відомий як віджети відображення, повинен бути негайно вилучений власниками веб-сайтів. Фірма повідомила, що останні три випуски плагіна містять код, який дозволяє авторові публікувати будь-який вміст на зараженому сайті.

"Автори цього плагіна використовували бекдор, щоб публікувати вміст спаму на сайтах, на яких працює плагін. Протягом останніх трьох місяців плагін було видалено та відновлено в сховище плагінів WordPress.org в цілому чотири рази ", - сказав Марк Маундер, виконавчий директор WordFence.

Maunder сказав, що плагін спочатку розроблявся його початковим автором як плагін із відкритим вихідним кодом, але потім був проданий іншим у 21 червні. Оновлена ​​версія 2.6.0 була випущена новим власником відразу. За словами Девіда Лоуза, британського веб-консультанта, WordFence повідомив, що віджет почав встановлювати додатковий код, а потім почав завантажувати дані з закону на сервер.

У червні 23 WordFence вилучив екранний віджет, а через тиждень новий власник випустив версію 2.6.1 плагіна. Цей реліз містив файл geolocation.php, який ніхто не розуміє в той час, містив шкідливий код. Цей код дозволив авторові плагіна публікувати новий вміст на будь-якому веб-сайті, на якому запущено плагін, до URL-адреси за їх вибором.

"Крім того, шкідливий код заборонив будь-якому користувачеві, що ввійшов в систему, переглядати вміст. Іншими словами, власники сайтів не бачать зловмисного вмісту. Девід Лоу знову зв'язався з командою плагінів і повідомив їм, що плагін відвідує всі веб-сайти на зовнішньому сервері, який має наслідки для конфіденційності ", - сказав Мендер.

У липні 1 плагін був витягнутий з репозиторію WordPress, після чого версії 2.6.2 в липні 6. Знову ж таки, включений шкідливий код, на який посилається вище, який ніхто ще не помітив.

Це було на 23 липні, коли користувач, на ім'я Кальвін Нган відкрив звіт про авіаквитки Trac що віджети відображали вміст спаму на своєму веб-сайті. Він включив посилання до результатів Google, який проіндексував спам і сказав, що цей шкідливий код знаходиться в геолокації .php.

У вересні версію 2.6.3 плагіна було випущено, і він включав той же шкідливий код. Минулого тижня користувач форуму на WordPress.org повідомляє цей спам було введено на свій веб-сайт на форум підтримки плагінів дисплеїв дисплеїв.

"Автори плагіна активно підтримують свій шкідливий код, перемикаються між джерелами на спам і працюють, щоб заплутувати (приховувати) домен, з якого вони отримують спам", - сказав Маундер.

Віджет був стертий на 8 вересня, але Maunder відстежив нового покупця плагіна до служби під назвою WP Devs, яка купує старі та заблоковані плагіни.

Його дослідження показали, що компанія, як видається, керує одна особа в США та, можливо, інша в Східній Європі, виходячи з мовних помилок, зроблених плакатом.

Maunder сказав, що люди в спільноті WordPress не повинні "починати жодну відьму".

"Інколи плагіни змінюють право власності та дуже рідко, це не добре. Це, здається, те, що сталося в даному випадку ", - сказав він.

джерело

Залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.