Sommario
Il team di Wordfence ha recentemente scoperto un attacco alla catena di fornitura che ha compromesso cinque plugin di WordPress.org, permettendo agli aggressori di iniettare codice malevolo. Questo attacco mira a creare account amministrativi illeciti e inserire spam SEO nei siti web colpiti.
Plugin compromessi
Il 24 giugno 2024, il team di Wordfence ha rilevato che il plugin “Social Warfare” era stato infettato da codice malevolo a partire dal 22 giugno 2024. Ulteriori analisi hanno identificato altri quattro plugin compromessi con codice simile. Sebbene i nomi specifici dei plugin compromessi non siano stati divulgati, è noto che il malware tenta di creare nuovi account amministrativi con i nomi utente “Options” e “PluginAuth”, inviando i dettagli a un server controllato dagli aggressori.
- Social Warfare 4.4.6.4 – 4.4.7.1 (Patched version: 4.4.7.3) – 30,000+ installs
- Blaze Widget 2.2.5 – 2.5.2 (Patched version: N/A) – 10+ installs
- Wrapper Link Element 1.0.2 – 1.0.3 (Patched version: N/A) – 1,000+ installs
- Contact Form 7 Multi-Step Addon 1.0.4 – 1.0.5 (Patched version: N/A) – 700+ installs
- Simply Show Hooks 1.2.1 (Patched version: N/A) – 4,000+ installs
Dettagli dell’Attacco
Il codice malevolo iniettato nei plugin compromessi non è particolarmente sofisticato e contiene commenti che ne facilitano l’analisi. Gli attacchi sembrano essere iniziati il 21 giugno 2024, con aggiornamenti recenti risalenti a poche ore fa. Gli aggressori hanno anche inserito JavaScript dannoso nei footer dei siti web, aggiungendo spam SEO.
Indicatori di compromissione
- Indirizzo IP del server attaccante: 94.156.79[.]8
- Nomi utente degli account amministrativi illeciti: “Options”, “PluginAuth”
Raccomandazioni di Sicurezza
Gli utenti che utilizzano i plugin compromessi devono considerare i loro siti compromessi e avviare immediatamente una risposta agli incidenti. Le azioni consigliate includono:
- Verifica degli Account Amministrativi: Controllare e rimuovere eventuali account amministrativi non autorizzati.
- Scansione Malware: Eseguire una scansione completa del sito utilizzando il plugin Wordfence o Wordfence CLI per rilevare e rimuovere codice malevolo.
- Aggiornamento o Rimozione dei Plugin: Aggiornare i plugin compromessi all’ultima versione disponibile o rimuoverli completamente.
Per ulteriori dettagli su come pulire un sito WordPress compromesso, è possibile consultare la guida completa di Wordfence. Inoltre, Wordfence offre servizi di risposta agli incidenti attraverso i loro prodotti Wordfence Care e Wordfence Response.
