Višestruki WordPress dodaci su skriveni za ubacivanje zlonamjernog koda koji omogućava kreiranje lažnih administratorskih naloga s ciljem izvođenja proizvoljnih radnji.
“Ubrizgani zlonamjerni softver pokušava stvoriti novi administrativni korisnički račun, a zatim šalje te detalje nazad serveru koji kontroliše napadač”, rekla je istraživačica Wordfence sigurnosti Chloe Chamberland u upozorenju od ponedjeljka.
“Pored toga, čini se da je hakeri takođe ubacio zlonamjerni JavaScript u podnožje web stranica za koje se čini da dodaje SEO neželjenu poštu na cijeloj web stranici.”
Administratorski nalozi imaju korisnička imena “Opcije” i “PluginAuth”, sa informacijama o nalogu eksfiltriranim na IP adresu 94.156.79[.]8.
Trenutno nije poznato kako su nepoznati napadači koji stoje iza kampanje uspjeli kompromitirati dodatke, ali najraniji znaci napada na lanac nabave softvera datiraju od 21. juna 2024. godine.
Predmetni dodaci više nisu dostupni za preuzimanje iz WordPress direktorija dodataka u čekanju na pregled:
- Social Warfare 4.4.6.4 – 4.4.7.1 (Zakrpljena verzija: 4.4.7.3) – 30.000+ instalacija
- Blaze Widget 2.2.5 – 2.5.2 (Zakrpljena verzija: N/A) – 10+ instalacija
- Wrapper Link Element 1.0.2 – 1.0.3 (Zakrpljena verzija: N/A) – 1.000+ instalacija
- Kontakt šablon 7 Multi-Step Addon 1.0.4 – 1.0.5 (Zakrpljena verzija: N/A) – 700+ instalacija
- Simply Show Hooks 1.2.1 (Zakrpljena verzija: N/A) – 4.000+ instalacija
Korisnicima gore navedenih dodataka se savjetuje da pregledaju svoje web stranice na sumnjive administratorske račune i izbrišu ih, uz uklanjanje zlonamjernog koda.
Izvor:The Hacker News