25 jun 2024

Plugins oficiales de WordPress contienen puerta trasera en un ataque a la cadena de suministro

Un actor de amenazas modificó el código fuente de al menos cinco complementos alojados en WordPress.org para incluir scripts PHP maliciosos que crean nuevas cuentas con privilegios administrativos en los sitios web que los ejecutan.

El ataque fue descubierto ayer por el equipo de Wordfence Threat Intelligence, pero las inyecciones maliciosas parecen haber ocurrido hacia el final de la semana pasada, entre el 21 y el 22 de junio.

Tan pronto como Wordfence descubrió la infracción, la compañía notificó a los desarrolladores de los complementos, lo que resultó en que ayer se lanzaron parches para la mayoría de los productos.

Juntos, los cinco complementos se han instalado en más de 35.000 sitios web:

Wordfence señala que no sabe cómo el actor de la amenaza logró acceder al código fuente de los complementos, pero se está investigando.

Aunque es posible que el ataque afecte a una mayor cantidad de complementos de WordPress, la evidencia actual sugiere que el ataque se limita al conjunto de cinco mencionado anteriormente.

Operación de puerta trasera y IoC

El código malicioso de los complementos infectados intenta crear nuevas cuentas de administrador e inyectar spam de SEO en el sitio web comprometido.

"En esta etapa, sabemos que el malware inyectado intenta crear una nueva cuenta de usuario administrativo y luego envía esos detalles al servidor controlado por el atacante", explica Wordfence. "Además, parece que el actor de amenazas también inyectó JavaScript malicioso en el pie de página de los sitios web, lo que parece agregar spam de SEO en todo el sitio web".

Los datos se transmiten a la dirección IP 94.156.79[.]8, mientras que las cuentas de administrador creadas arbitrariamente se denominan "Options" y "PluginAuth", dicen los investigadores.

Los propietarios de sitios web que detecten dichas cuentas o tráfico a la dirección IP del atacante deben realizar un análisis y limpieza completos de malware.

Wordfence señala que algunos de los complementos afectados fueron eliminados temporalmente de la lista de WordPress.org, lo que puede provocar que los usuarios reciban advertencias incluso si usan una versión parcheada.

Fuente: BC

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!