Plugin WordPress compromessi alla fonte

WordPress.org e Wordfence hanno pubblicato avvertimenti riguardanti hacker che aggiungono codice maligno ai plugin direttamente dalla fonte, causando infezioni diffuse tramite gli aggiornamenti.

Cinque Plugin Compromessi… Finora
Di solito quello che accade è che un plugin contiene una vulnerabilità che permette a un attaccante di compromettere siti individuali che utilizzano quella versione del plugin. Ma questi compromessi sono diversi perché i plugin stessi non contengono vulnerabilità. Gli attaccanti iniettano direttamente codice maligno direttamente alla fonte del plugin, forzando un aggiornamento che poi si diffonde a tutti i siti che utilizzano il plugin.

Wordfence ha notato per primo un plugin che conteneva codice maligno. Quando hanno caricato i dettagli nel loro database, hanno poi scoperto altri quattro plugin compromessi con un tipo di codice maligno simile. Wordfence ha immediatamente notificato WordPress delle loro scoperte.

Wordfence ha condiviso i dettagli dei plugin interessati:

“Social Warfare 4.4.6.4 – 4.4.7.1
Versione Patched: 4.4.7.3

Blaze Widget 2.2.5 – 2.5.2
Versione Patched: Nessuna

Wrapper Link Element 1.0.2 – 1.0.3
Versione Patched: Sembra che qualcuno abbia rimosso il codice maligno, tuttavia, l’ultima versione è contrassegnata come 1.0.0 che è inferiore alle versioni infette. Ciò significa che potrebbe essere difficile aggiornare alla versione più recente, quindi consigliamo di rimuovere il plugin fino a quando non verrà rilasciata una versione correttamente contrassegnata.

Contact Form 7 Multi-Step Addon 1.0.4 – 1.0.5
Versione Patched: Nessuna

Simply Show Hooks 1.2.1
Versione Patched Nessuna”

WordPress ha chiuso tutti e cinque i plugin direttamente nel repository ufficiale dei plugin e ha pubblicato una notifica su ciascuna delle pagine dei plugin che sono chiuse e non disponibili.

Screenshot Di Un Plugin WordPress escluso

I plugin infetti generano account admin fraudolenti che si collegano a un server. I siti attaccati vengono alterati con link spam di SEO aggiunti al piè di pagina. I malware sofisticati possono essere difficili da individuare perché gli hacker cercano attivamente di nascondere il loro codice in modo che, ad esempio, il codice sembri una stringa di numeri, il codice maligno è oscurato. Wordfence ha notato che questo malware specifico non era sofisticato ed era facile da identificare e tracciare.

Wordfence ha fatto un’osservazione su questa curiosa qualità del malware:

“Il codice maligno iniettato non è molto sofisticato o pesantemente oscurato e contiene commenti in tutto il testo, rendendolo facile da seguire. La prima iniezione sembra risalire al 21 giugno 2024 e l’attore minaccia era ancora attivamente aggiornando i plugin fino a 5 ore fa.”

WordPress emette un avviso sui plugin compromessi
L’avviso di WordPress afferma che gli attaccanti identificano gli sviluppatori di plugin che hanno “accesso come committer” (significa che possono impegnarsi nel codice del plugin) e poi nel passo successivo utilizzano credenziali da altre violazioni di dati che corrispondono a quegli sviluppatori. Gli hacker utilizzano queste credenziali per accedere direttamente al plugin a livello di codice e iniettare il loro codice maligno.

WordPress ha spiegato:

“Il 23 e 24 giugno 2024, cinque account utente di WordPress.org sono stati compromessi da un attaccante che ha provato combinazioni di nome utente e password che erano state precedentemente compromesse in violazioni di dati su altri siti web. L’attaccante ha utilizzato l’accesso a questi 5 account per emettere aggiornamenti maligni a 5 plugin a cui quegli utenti avevano accesso come committer.”

I plugin interessati hanno avuto aggiornamenti di sicurezza emessi dal Team dei plugin per proteggere la sicurezza degli utenti.

La responsabilità di questi compromessi sembra risiedere nelle pratiche di sicurezza degli sviluppatori di plugin. L’annuncio ufficiale di WordPress ha ricordato agli sviluppatori di plugin le migliori pratiche da utilizzare al fine di prevenire che questi tipi di compromessi si verifichino.

Come Sapere Se Il Tuo Sito È Stato Compromesso?
In questo momento ci sono solo cinque plugin noti per essere compromessi con questo specifico codice maligno. Wordfence ha detto che gli hacker creano amministratori con i nomi utente “Options” o “PluginAuth”, quindi un modo per verificare se un sito è compromesso potrebbe essere controllare se ci sono nuovi account amministrativi, specialmente quelli con quei nomi utente.

Wordfence ha raccomandato ai siti interessati che utilizzano uno dei cinque plugin di eliminare gli account utente amministratori fraudolenti e di eseguire una scansione malware con il plugin Wordfence e rimuovere il codice maligno.

Qualcuno nei commenti ha chiesto se dovrebbe preoccuparsi anche se non utilizza nessuno dei cinque plugin:

“Pensate che dovremmo preoccuparci anche di altri aggiornamenti dei plugin? O era limitato a questi 5 plug-in.”
Chloe Chamberland, responsabile dell’analisi delle minacce presso Wordfence, ha risposto:

“Ciao Elizabeth, a questo punto sembra che sia limitato solo a quei 5 plugin quindi non mi preoccuperei troppo per altri aggiornamenti dei plugin. Tuttavia, per maggiore cautela, consiglierei di rivedere i set di modifiche di eventuali aggiornamenti dei plugin prima di aggiornarli su qualsiasi sito che gestisci per assicurarti che non ci siano codici maligni.”

Altri due commentatori hanno notato di avere almeno un account amministratore fraudolento su siti che non utilizzavano nessuno dei cinque plugin noti interessati. Al momento non si sa se altri plugin siano interessati.

Leggi l’avviso e la spiegazione di Wordfence su ciò che sta accadendo.

Leggi l’annuncio ufficiale di WordPress.org.

Immagine in evidenza di Shutterstock/Algonga.