Popüler WordPress Eklentileri Ele Geçirildi: 1,2 Milyon Site Arka Kapıyla Tehdit Ediliyor Yazılım

Popüler WordPress Eklentileri Ele Geçirildi: 1,2 Milyon Site Arka Kapıyla Tehdit Ediliyor

Hollandalı güvenlik firması Sansec, Awesome Motive eklentilerine yönelik tedarik zinciri saldırısını ortaya çıkardı. 1,2 milyon site arka kapı ve saht

Siber saldırganlar, popüler WordPress eklentileri geliştiricisi Awesome Motive'in üç eklentisinin (OptinMonster, TrustPulse ve PushEngage) kodlarına müdahale ederek gizli arka kapılar ve sahte yönetici hesapları oluşturdu. Hollandalı güvenlik araştırma firması Sansec'in 13 Haziran'da detaylandırdığı tedarik zinciri saldırısında, yaklaşık 1,2 milyon sitenin etkilendiği belirtiliyor. Saldırganlar, kötü amaçlı kodu Awesome Motive'in kendi dağıtım ağına enjekte ederek, sitelerin doğrudan kaynaktan virüslü dosyaları yüklemesini sağladı.

Kötü amaçlı JavaScript, yalnızca oturum açmış bir yönetici sayfayı yüklediğinde etkinleşiyor. Bu sayede sıradan ziyaretçiler etkilenmezken, yönetici tespit edildiğinde arka planda yeni bir yönetici hesabı oluşturuluyor, kendini gizleyen bir arka kapı eklentisi kuruluyor ve yeni kimlik bilgileri, meşru tidio.com hizmetine benzeyen bir siteye gönderiliyor. Sansec, bu kampanyayı 2024'teki Polyfill saldırısına benzetiyor; bu saldırıda da tek bir dosyanın zehirlenmesi binlerce siteyi etkilemişti.

Saldırının kaynağı henüz netleşmiş değil. Sansec, Awesome Motive'in kendi sunucularının, CDN hesabının veya daha düşük ihtimalle BunnyNet ağının giriş noktası olabileceğini belirtiyor. Saldırının maruz kalma süresi kısaydı: OptinMonster ve TrustPulse için zehirli kod yaklaşık yarım saat sonra kaldırıldı, ancak PushEngage 13 Haziran'da hâlâ kötü amaçlı kod sunuyordu. Awesome Motive'in diğer popüler eklentileri (WPForms, All in One SEO, MonsterInsights) henüz hedef alınmamış olsa da, kullanıcıların şüpheli yönetici hesaplarına ve tidio[.]cc trafiğine karşı dikkatli olmaları öneriliyor.

Teknik Analiz

Saldırının boyutu, Awesome Motive'in milyonlarca siteye ulaşan geniş eklenti ağı göz önüne alındığında endişe verici. Şu an için yalnızca üç eklenti onaylanmış olsa da, Sansec, Awesome Motive eklentisi kullanan herkesin sitelerini kontrol etmesini tavsiye ediyor. Infosecurity, konuyla ilgili Awesome Motive'den henüz yanıt alamadı. Kullanıcıların, güvenlik açığını kapatmak için eklentilerini güncellemeleri ve şüpheli etkinlikleri izlemeleri kritik önem taşıyor.

Paylaş: