یک حمله زنجیره تامین علیه پلاگین های WordPress.org شناسایی شده است. این حمله توسط تیم اطلاعات تهدید Wordfence در بیست و چهارم ژوئن ۲۰۲۴ شناسایی گردید اما به نظر میرسد که تزریقهای مخرب بین بیست و یکم و بیست دوم ژوئن رخ دادهاند.
یک مهاجم سایبری، کد منبع حداقل پنج پلاگین میزبانی شده در WordPress.org را تغییر داده است. پلاگینهای جدید شامل اسکریپتهای مخرب PHP میباشند که اکانتهای جدید با سطح دسترسی admin در این وب سایتها ایجاد میکنند.
Wordfence فورا شرکت توسعه دهنده افزونه را مطلع کرد که منجر به انتشار پچهایی برای اکثر محصولات شد. این پنج پلاگین مجموعا در بیش از 35 هزار وب سایت نصب شدهاند که عبارتند از:
- Social Warfare نسخه ۴.۴.۶.۴ تا ۴.۴.۷.۱ (نسخه به روزرسانی: ۴.۴.۷.۳)
- Blaze Widget نسخه ۲.۲.۵ تا ۲.۵.۲ (نسخه به روزرسانی: ۲.۵.۴)
- Wrapper Link Element نسخه ۱.۰.۲ تا ۱.۰.۳ (نسخه به روزرسانی: ۱.۰.۵)
- Contact Form 7 Multi-Step Addon نسخه ۱.۰.۴ تا ۱.۰.۵ (نسخه به روزرسانی: ۱.۰.۷)
- Simply Show Hooks نسخه ۱.۲.۱ تا ۱.۲.۲ (هنوز هیچگونه پچی منتشر نشده است)
هنوز مشخص نیست که مهاجم چگونه به کد منبع پلاگینها دست یافته است. اگرچه ممکن است این حمله، تعداد بیشتری پلاگین وردپرس را آلوده کرده باشد اما شواهد فعلی نشان میدهد که دامنه حمله به پنج مورد ذکر شده، محدود میشود.
کد مخرب موجود در پلاگین های WordPress.org فوق در تلاش است تا اکانتهای admin جدید ایجاد کرده و سپس SEO spam (یا اسپم در سئو) را به وب سایت تحت نفوذ تزریق کند.
بدافزار تزریق شده همچنین اطلاعات وب سایت را به سرور تحت کنترل مهاجم ارسال میکند. شواهد بیانگر آن است که هکر، کد جاوا اسکریپت مخرب را به footer وب سایتها تزریق کرده است که به دنبال آن، SEO spam به تمام وبها سایت اضافه شده است.
اکانتهای admin ایجاد شده، «Options» و «PluginAuth» نام دارند. صاحبان وب سایتهایی که متوجه چنین حسابها یا ترافیکهایی به آدرس IP مهاجم (94.156.79[.]8) شدهاند، میبایست یک اسکن و پاکسازی کامل بدافزار انجام دهند.
شما میتوانید راهنمای کامل Wordfence برای پاکسازی سایت وردپرس را از اینجا مشاهده کنید. به گفته Wordfence، برخی از پلاگینهای آلوده به طور موقت از WordPress.org حذف شدهاند.
