
Il blog di Wordfence riporta un attacco alla catena di approvvigionamento che ha colpito cinque plugin di WordPress e che mira a sfruttare la fiducia degli utenti nei plugin di WordPress distribuendo malware per violare siti web e esfiltrare dati.
I plugin compromessi
I plugin compromessi sono stati modificati per includere codice malevolo, che permette agli attaccanti di eseguire comandi arbitrari sui siti web che li utilizzano. Nella fattispecie, secondo i ricercatori, il malware iniettato che sarebbe stato implementato in PHP tenta di:
- esfiltrare il database delle credenziali utente;
- creare utenze amministrative;
- comunicare con il server C2 presidiato dagli attaccanti;
- inserire del codice JavaScript in fondo alle pagine web delle piattaforme colpite allo scopo di acquisire visibilità nei motori di ricerca tramite la tecnica SEO spam.
Tuttavia, gli analisti sottolineano inoltre che le soluzioni di sicurezza riescono facilmente a identificare e rimuovere il codice malevolo non essendo questo particolarmente sofisticato e offuscato.
Di seguito l’elenco dei plugin compromessi:
- Social Warfare (versioni 4.4.6.4 – 4.4.7.1)
- Blaze Widget (versioni 2.2.5 – 2.5.2)
- Wrapper Link Element (versioni 1.0.2 – 1.0.3)
- Addon Contact Form 7 Multi-Step (versioni 1.0.4 – 1.0.5)
- Simply Show Hook (versione 1.2.1)
Possibili misure di intervento
Wordfence consiglia agli utenti di verificare la presenza di aggiornamenti e patch disponibili per i plugin coinvolti, rimuovendoli se non disponibile alcun aggiornamento e di eliminare, se presenti, account amministrativi non autorizzati per la gestione del proprio sito Web.
È inoltre importante per gli amministratori implementare sui propri apparati di sicurezza gli IoC pubblicati:
- Indirizzo IP del server C2: 94.156.79.8
- Account amministrativi generati: Options, PluginAuth.
I plugin interessati sono stati ritirati e non sono più disponibili per il download.