قام أحد عناصر التهديد بتعديل الكود المصدري لما لا يقل عن خمسة مكونات إضافية مستضافة على WordPress.org لتشمل نصوص PHP البرمجية الضارة التي تنشئ حسابات جديدة تتمتع بامتيازات إدارية على مواقع الويب التي تقوم بتشغيلها.
تم اكتشاف الهجوم من قبل فريق Wordfence Threat Intelligence بالأمس، ولكن يبدو أن الحقن الخبيثة حدثت في نهاية الأسبوع الماضي، بين 21 و22 يونيو.
بمجرد اكتشاف Wordfence للاختراق، قامت الشركة بإخطار مطوري المكونات الإضافية، مما أدى إلى إصدار تصحيحات أمس لمعظم المنتجات.
تم تثبيت المكونات الإضافية الخمسة معًا على أكثر من 35000 موقع ويب:
Social Warfare 4.4.6.4 إلى 4.4.7.1 (تم إصلاحه في الإصدار 4.4.7.3) Blaze Widget 2.2.5 إلى 2.5.2 (تم إصلاحه في الإصدار 2.5.4) عنصر رابط الغلاف 1.0.2 إلى 1.0.3 (تم إصلاحه في الإصدار 1.0. 5) ملحق نموذج الاتصال 7 متعدد الخطوات 1.0.4 إلى 1.0.5 (تم إصلاحه في الإصدار 1.0.7) ببساطة إظهار الخطافات 1.2.1 إلى 1.2.2 (لا يتوفر إصلاح حتى الآن)
يشير Wordfence إلى أنه لا يعرف كيف تمكن ممثل التهديد من الوصول إلى الكود المصدري للمكونات الإضافية ولكن التحقيق جارٍ في الأمر.
على الرغم من أنه من الممكن أن يؤثر الهجوم على عدد أكبر من مكونات WordPress الإضافية، إلا أن الأدلة الحالية تشير إلى أن التسوية تقتصر على المجموعة المذكورة أعلاه المكونة من خمسة مكونات.
عملية الباب الخلفي وIoCs
تحاول التعليمات البرمجية الضارة الموجودة في المكونات الإضافية المصابة إنشاء حسابات إدارية جديدة وإدخال رسائل غير مرغوب فيها لتحسين محركات البحث (SEO) في موقع الويب المخترق.
يوضح Wordfence: “في هذه المرحلة، نعلم أن البرامج الضارة التي تم إدخالها تحاول إنشاء حساب مستخدم إداري جديد ثم ترسل هذه التفاصيل مرة أخرى إلى الخادم الذي يتحكم فيه المهاجم”.
“بالإضافة إلى ذلك، يبدو أن جهة التهديد قامت أيضًا بحقن JavaScript ضار في تذييل مواقع الويب التي يبدو أنها تضيف رسائل غير مرغوب فيها لتحسين محركات البحث في جميع أنحاء موقع الويب.”
يتم نقل البيانات إلى عنوان IP 94.156.79(.)8، بينما تتم تسمية حسابات الإدارة التي تم إنشاؤها بشكل تعسفي باسم “Options” و”PluginAuth”، كما يقول الباحثون.
يجب على مالكي مواقع الويب الذين يلاحظون مثل هذه الحسابات أو حركة المرور إلى عنوان IP الخاص بالمهاجم إجراء فحص كامل للبرامج الضارة وتنظيفها.
“إذا كان لديك أي من هذه المكونات الإضافية مثبتة، فيجب أن تعتبر التثبيت الخاص بك معرضًا للخطر والانتقال فورًا إلى وضع الاستجابة للحوادث.” – ووردسياج.
يشير Wordfence إلى أنه تم حذف بعض المكونات الإضافية المتأثرة مؤقتًا من WordPress.org، مما قد يؤدي إلى حصول المستخدمين على تحذيرات حتى إذا كانوا يستخدمون إصدارًا مصححًا.
