Schadelijke WordPress plugin geïnstalleerd achterdeur op duizenden websites

 

Widget plugin uitgespuwd spam aan nietsvermoedende slachtoffers

Hackers hebben een WordPress-plugin gebruikt om backdoors te installeren op maximaal 200,000 websites, allowng spam om te worden geüpload op nietsvermoedende websites.

Volgens Onderzoek uitgevoerd door IT-beveiligingsbedrijf WordFence uitgevoerd, de plugin, bekend als Display Widgets, moet onmiddellijk worden verwijderd door website-eigenaren. Het bedrijf zei dat de laatste drie releases van de plugin code die het mogelijk maakt de auteur om alle content op een getroffen site te publiceren hebben bevat.

“De auteurs van deze plugin zijn met behulp van de achterdeur om spam inhoud naar sites publiceren het runnen van hun plugin. In de afgelopen drie maanden is de plugin is verwijderd en toegelaten tot de WordPress.org plugin repository in totaal vier keer “, zegt Mark Maunder, CEO van WordFence.

Maunder zei dat de plugin oorspronkelijk werd ontwikkeld door de oorspronkelijke auteur als een open-source plug-in, maar werd vervolgens verkocht aan anderen op 21 Juni. Een bijgewerkte versie, 2.6.0 werd onmiddellijk vrijgegeven door de nieuwe eigenaar. WordFence werd door David Law, een Britse SEO consultant, dat de widget moest beginnen met het installeren aanvullende code en toen begon het downloaden van gegevens uit de Wet op de server.

Op 23 Juni, WordFence verwijderd Weergave Widget, en een week later, de nieuwe eigenaar vrijgegeven versie 2.6.1 van de plugin. Deze release bevat een bestand genaamd geolocation.php die, Niemand bij stilgestaan, bevatte kwaadaardige code. Deze code kon de plugin auteur om nieuwe inhoud te posten naar de website van het uitvoeren van de plugin, om een ​​URL van hun keuze.

“Bovendien, de kwaadaardige code verhinderde elke aangemelde gebruiker van het zien van de inhoud. Met andere woorden, site-eigenaren zouden de schadelijke inhoud niet zien. David Law opnieuw contact opgenomen met de plug-team en ze laten weten dat de plugin logt bezoeken aan elke website op een externe server, die de privacy implicaties heeft “, zei Maunder.

Op 1 Juli, de plug-in werd getrokken uit de WordPress repository, maar daarna gevolgd door versie 2.6.2 op 6 Juli. Weer, inclusief de kwaadaardige code wordt verwezen waarboven nog steeds onopgemerkt gebleven door iedereen.

Het was aan 23 Juli, toen een gebruiker, door de naam van Calvin Ngan opende een Trac ticket rapportage die worden weergegeven Widgets injecteerde spaminhoud in zijn website. Hij bevatte een link naar Google resultaten die de spam had geïndexeerd en zei dat de kwaadaardige code is in geolocation.php.

In September, Versie 2.6.3 van de plug-in werd vrijgegeven en bevatte dezelfde kwaadaardige code. Vorige week, een forum gebruiker op WordPress.org gemeld dat spam is in hun website geïnjecteerd op het display Widgets plugin support forum.

“De auteurs van de plugin actief behoud van hun kwaadaardige code, schakelen tussen bronnen van spam en werken aan verdoezelen (verberg) het domein ze ophaalt spam uit,”zei Maunder.

De widget werd permanentely op verwijderd 8 September, maar Maunder opgespoord nieuwe koper de plugin om een ​​service genaamd WP Devs, die oude en verlaten plugins koopt.

Zijn onderzoek bleek dat het bedrijf lijkt te worden gerund door één persoon in de VS en eventueel andere in Oost-Europa, afgaande op taalkundige fouten gemaakt door de poster.

Maunder zei dat mensen in de WordPress gemeenschap niet mag “start elke heksenjachten”.

“Af en toe plugins van eigenaar wisselen en zeer zelden, dat gaat niet goed. Dat lijkt te zijn wat er gebeurd is in dit geval “, zei hij.

Bron

2 Opmerkingen

laat een antwoord achter