Il team di Wordfence ha recentemente scoperto un attacco alla catena di fornitura che ha compromesso cinque plugin di WordPress.org, permettendo agli aggressori di iniettare codice malevolo. Questo attacco mira a creare account amministrativi illeciti e inserire spam SEO nei siti web colpiti.
Plugin compromessi
Il 24 giugno 2024, il team di Wordfence ha rilevato che il plugin “Social Warfare” era stato infettato da codice malevolo a partire dal 22 giugno 2024. Ulteriori analisi hanno identificato altri quattro plugin compromessi con codice simile. Sebbene i nomi specifici dei plugin compromessi non siano stati divulgati, è noto che il malware tenta di creare nuovi account amministrativi con i nomi utente “Options” e “PluginAuth”, inviando i dettagli a un server controllato dagli aggressori.
- Social Warfare 4.4.6.4 – 4.4.7.1 (Patched version: 4.4.7.3) – 30,000+ installs
- Blaze Widget 2.2.5 – 2.5.2 (Patched version: N/A) – 10+ installs
- Wrapper Link Element 1.0.2 – 1.0.3 (Patched version: N/A) – 1,000+ installs
- Contact Form 7 Multi-Step Addon 1.0.4 – 1.0.5 (Patched version: N/A) – 700+ installs
- Simply Show Hooks 1.2.1 (Patched version: N/A) – 4,000+ installs
Dettagli dell’Attacco
Il codice malevolo iniettato nei plugin compromessi non è particolarmente sofisticato e contiene commenti che ne facilitano l’analisi. Gli attacchi sembrano essere iniziati il 21 giugno 2024, con aggiornamenti recenti risalenti a poche ore fa. Gli aggressori hanno anche inserito JavaScript dannoso nei footer dei siti web, aggiungendo spam SEO.
Indicatori di compromissione
- Indirizzo IP del server attaccante: 94.156.79[.]8
- Nomi utente degli account amministrativi illeciti: “Options”, “PluginAuth”
Raccomandazioni di Sicurezza
Gli utenti che utilizzano i plugin compromessi devono considerare i loro siti compromessi e avviare immediatamente una risposta agli incidenti. Le azioni consigliate includono:
- Verifica degli Account Amministrativi: Controllare e rimuovere eventuali account amministrativi non autorizzati.
- Scansione Malware: Eseguire una scansione completa del sito utilizzando il plugin Wordfence o Wordfence CLI per rilevare e rimuovere codice malevolo.
- Aggiornamento o Rimozione dei Plugin: Aggiornare i plugin compromessi all’ultima versione disponibile o rimuoverli completamente.
Per ulteriori dettagli su come pulire un sito WordPress compromesso, è possibile consultare la guida completa di Wordfence. Inoltre, Wordfence offre servizi di risposta agli incidenti attraverso i loro prodotti Wordfence Care e Wordfence Response.
