WordPress-plug-ins die op maar liefst 36.000 websites draaien, zijn verborgen in een supply chain-aanval van onbekende oorsprong, zeiden beveiligingsonderzoekers maandag.
Tot nu toe is bekend dat vijf plug-ins getroffen zijn door de campagne, die maandagochtend actief was, meldden onderzoekers van beveiligingsbedrijf Wordfence. De afgelopen week hebben onbekende bedreigingsactoren kwaadaardige functies toegevoegd aan updates die beschikbaar zijn voor plug-ins op WordPress.org, de officiële site voor de open source WordPress CMS-software. Eenmaal geïnstalleerd, maken de updates automatisch een door de aanvaller beheerd beheerdersaccount aan dat volledige controle over de getroffen site biedt. De updates voegen ook inhoud toe die is ontworpen om de zoekresultaten op te fleuren.
De put vergiftigen
“De geïnjecteerde kwaadaardige code is niet overdreven geavanceerd of zeer onduidelijk en bevat opmerkingen die het gemakkelijker maken om te traceren”, schreven de onderzoekers. “De vroegste injectie lijkt te dateren van 21 juni 2024 en de bedreigingsacteur was vijf uur geleden nog steeds actief bezig met het updaten van plug-ins.”
De vijf plug-ins zijn:
De afgelopen tien jaar zijn supply chain-aanvallen uitgegroeid tot een van de meest effectieve vectoren voor het installeren van malware. Door software aan de bron te vergiftigen, kunnen bedreigingsactoren grote aantallen apparaten infecteren wanneer gebruikers niets anders doen dan een vertrouwde update of installatiebestand uitvoeren. Eerder dit jaar werd de ramp ternauwernood afgewend nadat een achterdeur in de veelgebruikte open source-codebibliotheek XZ Utils, die hij gebruikte, werd ontdekt, meestal door geluk, een week of twee voordat de algemene release gepland was. Er zijn talloze voorbeelden van andere recente aanvallen op de toeleveringsketen.
Onderzoekers zijn bezig met het verder onderzoeken van de malware en hoe deze beschikbaar kwam om te downloaden op het WordPress-plug-inkanaal. Vertegenwoordigers van WordPress, BLAZE en Social Warfare reageerden niet op vragen per e-mail. De vertegenwoordigers van de ontwikkelaars van de overige drie plug-ins konden niet worden bereikt omdat ze geen contactgegevens op hun websites verstrekten.
Onderzoekers van Wordfence zeiden dat de eerste indicatie die ze zaterdag vonden afkomstig was uit dit bericht van een lid van het WordPress plugin review team. De onderzoekers analyseerden het kwaadaardige bestand en identificeerden vier andere plug-ins die met soortgelijke code waren geïnfecteerd. De onderzoekers schreven verder:
In dit stadium weten we dat de geïnjecteerde malware probeert een nieuw beheerdersgebruikersaccount aan te maken en deze gegevens vervolgens terugstuurt naar de server die wordt beheerd door de aanvaller. Bovendien lijkt de bedreigingsacteur kwaadaardig JavaScript in de voettekst van webpagina’s te hebben geïnjecteerd, wat SEO-spam over de hele site lijkt te veroorzaken. De geïnjecteerde kwaadaardige code is niet te geavanceerd of erg onduidelijk en bevat opmerkingen die het gemakkelijk maken om te volgen. De vroegste injectie lijkt te dateren van 21 juni 2024 en de bedreigingsacteur was vijf uur geleden nog steeds actief bezig met het updaten van plug-ins. Op dit moment weten we niet precies hoe de bedreigingsacteur deze plug-ins heeft weten te infecteren.
Iedereen die een van deze plug-ins heeft geïnstalleerd, moet deze onmiddellijk verwijderen en de website zorgvuldig controleren op recent aangemaakte beheerdersaccounts en schadelijke of ongeautoriseerde inhoud. Websites die de kwetsbaarheidsscanner van Wordfence gebruiken, ontvangen een waarschuwing als ze een van de plug-ins gebruiken.
Het Wordfence-bericht raadde mensen ook aan hun websites te controleren op verbindingen vanaf het IP-adres 94.156.79.8 en beheerdersaccounts met gebruikersnamen Options of PluginAuth.