Un auteur de menace a modifié le code source d’au moins cinq plug-ins hébergés sur WordPress.org pour inclure des scripts PHP malveillants qui créent de nouveaux comptes avec des privilèges administratifs sur les sites Web qui les exécutent.
L’attaque a été découverte hier par l’équipe de renseignement sur les menaces Wordfence, mais les injections malveillantes semblent s’être produites vers la fin de la semaine dernière, entre le 21 et le 22 juin.
Dès que Wordfence a découvert la violation, la société a informé les développeurs de plugins, ce qui a entraîné la publication hier de correctifs pour la plupart des produits.
Ensemble, les cinq plugins ont été installés sur plus de 35 000 sites Web:
- Guerre sociale 4.4.6.4 à 4.4.7.1 (corrigé dans la version 4.4.7.3)
- Widget Blaze 2.2.5 à 2.5.2 (corrigé dans la version 2.5.4)
- Élément de lien Wrapper 1.0.2 à 1.0.3 (corrigé dans la version 1.0.5)
- Formulaire de contact 7 Module complémentaire en plusieurs étapes 1.0.4 à 1.0.5 (corrigé dans la version 1.0.7)
- Montrez simplement les Hooks 1.2.1 à 1.2.2 (pas encore de correctif disponible)
Wordfence note qu’il ne sait pas comment l’auteur de la menace a réussi à accéder au code source des plugins, mais une enquête est en cours.
Bien qu’il soit possible que l’attaque affecte un plus grand nombre de plugins WordPress, les preuves actuelles suggèrent que la compromission est limitée à l’ensemble de cinq susmentionné.
Opération de porte dérobée et IOC
Le code malveillant dans les plugins infectés tente de créer de nouveaux comptes d’administrateur et d’injecter du spam SEO dans le site Web compromis.
“À ce stade, nous savons que le logiciel malveillant injecté tente de créer un nouveau compte d’utilisateur administratif, puis renvoie ces informations au serveur contrôlé par l’attaquant”, explique Wordfence.
“De plus, il semble que l’auteur de la menace ait également injecté du JavaScript malveillant dans le pied de page des sites Web, ce qui semble ajouter du spam SEO sur l’ensemble du site Web.”
Les données sont transmises à l’adresse IP 94.156.79 [.]8, alors que les comptes d’administrateur créés arbitrairement sont nommés “Options” et “PluginAuth”, disent les chercheurs.
Les propriétaires de sites Web qui remarquent de tels comptes ou du trafic vers l’adresse IP de l’attaquant doivent effectuer une analyse et un nettoyage complets des logiciels malveillants.
« Si l’un de ces plugins est installé, vous devez considérer que votre installation est compromise et passer immédiatement en mode de réponse aux incidents. »- Wordfence.
Wordfence note que certains des plugins affectés ont été temporairement supprimés de la liste WordPress.org, ce qui peut entraîner des avertissements pour les utilisateurs même s’ils utilisent une version corrigée.