该攻击由 Wordfence 威胁情报团队在昨天发现,不过恶意注入似乎在上周末即6月21日和22日之间就发生了。发现该活动后,Wordfence 立即通知插件开发人员,后者在昨天为多数产品发布了补丁。
如下5款插件被安装在超过3.5万个网站上:
- Social Warfare 4.4.6.4至4.4.7.1 (在4.4.7.3版本中修复)
- Blaze Widget 2.2.5 至2.5.2(在2.5.4版本中修复)
- Wrapper Link Element 1.0.2 至1.0.3(在1.0.5版本中修复)
- Contact Form 7 Multi-Step Addon 1.0.4至1.0.5(在1.0.7版本中修复)
- Simply Show Hooks 1.2.1至1.2.2(尚无修复方案)
Wordfence 表示尚不清楚威胁行动者如何设法获得对这些插件源代码的访问权限,不过正在开展调查。尽管攻击可能影响更多数量的 WordPress 插件,但目前证据表明攻陷仅局限于此前提到的五款插件。
受感染插件中的恶意代码试图创建新的管理员账户并将SEO垃圾内容注入受陷网站。
Wordfence 公司解释称,“目前,我们了解到受感染恶意软件试图创建新的管理员用户账户,之后将详情发送回受攻击者控制的服务器中。此外,威胁行动者似乎也将恶意 JavaScript 脚本注入网站页脚中,在整个网站中添加SEO垃圾信息。”研究人员表示,该数据被传输到 IP 地址94.156.79[.]8,而被任意创建的管理员账户被命名为 “Options” 和 “PluginAuth”。
如站长注意到此类账户或流入攻击者IP地址的流量,则应开展完整的恶意软件扫描和清理。Wordfence 公司表示,其中某些受影响的插件临时从 WordPress.org 下架,因此即使用户使用的是已修复版本但仍可能收到告警信息。
原文始发于微信公众号(代码卫士):WordPress 插件被安后门,用于发动供应链攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论