الخبيثة وورد البرنامج المساعد المثبت مستتر على الآلاف من المواقع

 

انبعث المساعد القطعة البريد المزعج لضحايا المطمئنين

وقد استخدمت قراصنة البرنامج المساعد وورد لتثبيت خلفي على ما يصل إلى 200,000 مواقع ويب, allowng البريد المزعج وسيتم تحميلها على مواقع المطمئنين.

طبقًا لـ ابحاث التي تقوم بها IT شركة أمن WordFence, البرنامج المساعد, المعروفة باسم الحاجيات العرض, يجب إزالتها فورا من قبل اصحاب المواقع. وقالت الشركة أن الإصدارات الثلاثة الأخيرة من البرنامج المساعد وتضمنت التعليمات البرمجية التي تسمح للمؤلف لنشر أي محتوى على موقع المتضررين.

"إن واضعي هذا البرنامج المساعد وقد تم استخدام الباب الخلفي لنشر المحتوى المزعج على مواقع تعمل المساعد بهم. خلال الأشهر الثلاثة الماضية تمت إزالة البرنامج المساعد وإعادة القيد إلى المساعد مستودع WordPress.org ما مجموعه أربع مرات، وقال "مارك موندر, الرئيس التنفيذي لشركة WordFence.

وقال هذى أن البرنامج المساعد وضعت أصلا من قبل المؤلف الأصلي بوصفه المساعد مفتوحة المصدر ولكن تم بيعها بعد ذلك للآخرين على 21 /. نسخة محدثة, 2.6.0 صدر عن المالك الجديد على الفور. أبلغت WordFence بالقانون ديفيد, كبار المسئولين الاقتصاديين استشاري مقرها المملكة المتحدة, أن القطعة كانت تبدأ تركيب برمجية إضافية وبعد ذلك بدأ تحميل البيانات من وقانون الخادم.

على 23 /, WordFence إزالة القطعة العرض, وبعد أسبوع, النسخة الجديدة المالك صدر 2.6.1 البرنامج المساعد. هذا الإصدار يحتوي على ملف يسمى geolocation.php التي, لا أحد أدرك في ذلك الوقت, الشيفرات الخبيثة الواردة. هذا الرمز يسمح للمؤلف المساعد لنشر محتوى جديد إلى أي موقع تشغيل البرنامج المساعد, لURL التي يختارونها.

"علاوة على ذلك, والشيفرات الخبيثة منع أي مستخدم بتسجيل الدخول في من رؤية المحتوى. وبعبارة أخرى, أن أصحاب المواقع لا يرى المحتوى الضار. اتصلت ديفيد لو مرة أخرى للفريق المساعد واجعلهم يعرفون أن البرنامج المساعد يتم تسجيل زيارات إلى كل موقع لخادم خارجي, الذي له آثار الخصوصية "، وقال هذى.

على 1 تموز/يوليه, تم سحب البرنامج المساعد من مستودع وورد, ولكن بعد ذلك تليها نسخة 2.6.2 على 6 تموز/يوليه. مرة أخرى, والتي تضمنت الشيفرات الخبيثة المشار إليها أعلاه قد لا يزال ذهب دون أن يلاحظها أحد من قبل أي شخص.

كان على 23 يوليو عندما يقوم المستخدم, من جانب اسم كالفين نجان فتح التقارير تذكرة تراك أن القطع العرض كان عن طريق الحقن محتوى غير مرغوب فيه في موقعه على الانترنت. وتضمنت وصلة إلى نتائج جوجل التي فهرسة البريد المزعج وقال الشيفرات الخبيثة في geolocation.php.

في أيلول/سبتمبر, الإصدار 2.6.3 البرنامج المساعد صدر وأنها شملت نفس الشيفرات الخبيثة. الأسبوع الماضي, مستخدم منتدى على WordPress.org وأفادت تم حقن أن المزعج في موقعه على الانترنت على القطع العرض المساعد منتدى الدعم.

"واضعو البرنامج المساعد والحفاظ بنشاط مدوناتها الخبيثة, وقال هذى التبديل بين مصادر البريد المزعج وتعمل على تشويش (إخفاء) المجال هم جلب البريد المزعج من ".

تمت إزالة القطعة permanentely على 8 أيلول/سبتمبر, ولكن هذى تعقب المشتري الجديد المكون الإضافي لخدمة دعا WP المشروعات الإنمائية, التي تشتري الإضافات القديمة والمهجورة.

وجدت تحقيقاته أن الشركة يبدو أن تدار من قبل شخص واحد في الولايات المتحدة وربما آخر في أوروبا الشرقية, اذا حكمنا من الأخطاء اللغوية التي الملصق.

وقال هذى أن الناس في المجتمع وورد لا ينبغي أن "تبدأ أي مطاردة الساحرات".

"أحيانا الإضافات تغيير ملكية ونادرا جدا, لا تسير على ما يرام. "وقال إنه يبدو أن ما حدث في هذه الحالة،.

المصدر

استجابة واحدة

اترك رد