Saldırganlar Arka Kapıları Dağıtmak İçin Popüler WordPress Eklentilerini Ele Geçiriyor Yazılım

Saldırganlar Arka Kapıları Dağıtmak İçin Popüler WordPress Eklentilerini Ele Geçiriyor

Saldırganlar, 1,2 milyon kadar siteye gizli arka kapılar ve hileli yönetici hesapları yerleştirmek için birçok popüler WordPress eklentisinin arkasınd...

Saldırganlar, 1,2 milyon kadar siteye gizli arka kapılar ve hileli yönetici hesapları yerleştirmek için birçok popüler WordPress eklentisinin arkasındaki kodu ele geçirdi.

Hollandalı kötü amaçlı yazılım araştırma şirketi Sansec tarafından 13 Haziran'da ayrıntılarıyla açıklanan tedarik zinciri saldırısı, WordPress satıcısı Awesome Motive tarafından çalıştırılan üç eklenti olan OptinMonster, TrustPulse ve PushEngage için sunulan JavaScript'le oynandı.

Kötü amaçlı kod, kurban sunucularda yaşamak yerine, Awesome Motive'in kendi dağıtım ağı üzerinden içeri girdi, böylece komut dosyalarını yükleyen herhangi bir site, tahrif edilmiş dosyaları doğrudan kaynaktan aldı.

Detaylar ve Etkileri

Oturum açmış bir yönetici bir sayfa yükleyene kadar yük hareketsiz kalır ve şimdilik sıradan ziyaretçilere dokunulmaz.

Sonuç ve Değerlendirme

WordPress arka kapı eklentileri hakkında daha fazlasını okuyun: Yeni WordPress Kötü Amaçlı Yazılımları Eklenti Kılığına Giriyor

Değiştirilmiş Komut Dosyasından Hileli Yöneticiye

Bir yönetici tespit edildiğinde komut dosyası devreye girer. Yeni bir yönetici hesabı oluşturuyor, kontrolünü korumak için kendini gizleyen bir arka kapı eklentisi kuruyor ve ardından yeni kimlik bilgilerini meşru sohbet hizmeti tidio.com'un benzerine gönderiyor.

Sistem Güvenliği

OptinMonster tek başına bir milyondan fazla sitede çalışıyor ve geri kalanını TrustPulse ve PushEngage ekliyor. Saldırganın ele geçirilen her sitenin fiilen sahibi olması nedeniyle Sansec, düzenli ziyaretçilerin kötüye kullanılmasının muhtemel olduğu konusunda uyardı.

Firma, kampanyayı, tek bir yukarı akış dosyasının zehirlenmesinin binlerce aşağı yöndeki siteyi etkilediği 2024 Polyfill saldırısına benzetti.

Saldırganların içeri nasıl girdiği hala belirsizliğini koruyor: Firma, Awesome Motive'in kendi sunucularının, CDN hesabının veya daha az olasılıkla arkasındaki BunnyNet ağının giriş noktası olabileceğini söyledi.

Kısa Pozlama Penceresi

Pozlama pencereleri kısa görünüyor. Sansec, tahrif edilmiş OptinMonster ve TrustPulse kodunu 12 Haziran'da kaybolmadan önce yaklaşık yarım saat kadar kaydetti; bu, satıcının fark ettiği bir ipucuydu, ancak PushEngage betiği 13 Haziran'da hala kötü amaçlı yazılım sunuyordu.

Yalnızca üç eklentinin güvenliğinin ihlal edildiği doğrulandı, ancak Awesome Motive'in erişimi çok daha geniş olup, aşağıdaki gibi ürünler aracılığıyla on milyonlarca siteyi kapsamaktadır:

Nasıl Önlem Alınmalı?

Altı milyondan fazla yüklemeyle WPForms

Hepsi Bir Arada SEO, yaklaşık üç milyon

MonsterInsights, yaklaşık iki milyon

Teknik Analiz

Bunların hiçbiri onaylanmış bir başarı değil, ancak Sansec, Awesome Motive eklentisi çalıştıran herkesi tanıdık olmayan yönetici hesaplarını ve tidio[.]cc trafiğini izlemeye ve bunlardan herhangi biri ortaya çıkarsa hızlı hareket etmeye çağırdı.

Infosecurity yorum almak için Awesome Motive'e ulaştı.

Paylaş: