Um verdadeiro agente de ameaças modificou o código-fonte de pelo menos cinco plug-ins hospedados no WordPress.org para incluir scripts PHP maliciosos que criam novas contas com privilégios administrativos em sites que os executam. O ataque foi descoberto ontem pela equipe da Wordfence Threat Intelligence, embora a inserção do código malicioso pareça ter ocorrido no final de semana passado, entre 21 e 22 de junho. Assim que a Wordfence descobriu a violação, notificou os desenvolvedores do plugin, o que resultou no lançamento de patches para a maioria deles. Esses plugins estão instalados em cerca de 35 mil sites.
Veja isso
50 mil sites WordPress estão sob risco por bug no plugin de backup
Bug no plugin Forminator afeta mais de 300 mil sites WordPress
Os cinco plugins são os seguintes:
- Social Warfare 4.4.6.4 a 4.4.7.1 (corrigido na versão 4.4.7.3)
- Blaze Widget 2.2.5 a 2.5.2 (corrigido na versão 2.5.4)
- Elemento Wrapper Link 1.0.2 a 1.0.3 (corrigido na versão 1.0.5)
- Contact Form 7 Multi-Step Addon 1.0.4 a 1.0.5 (corrigido na versão 1.0.7)
- Simply Show Hooks 1.2.1 a 1.2.2 (nenhuma correção disponível ainda)
O Wordfence observa que não sabe como o autor da ameaça conseguiu obter acesso ao código-fonte dos plug-ins, mas iniciou uma investigação. Em seu relatório, a empresa diz: “sabemos que o malware injetado tenta criar uma nova conta de usuário administrativo e depois envia esses detalhes de volta ao servidor controlado pelo invasor. Além disso, parece que o agente da ameaça também injetou JavaScript malicioso no rodapé dos sites, o que parece adicionar spam de SEO a todo o site. O código malicioso injetado não é muito sofisticado ou muito ofuscado e contém comentários que facilitam o acompanhamento. A primeira injeção parece datar de 21 de junho de 2024, e o ator da ameaça ainda estava fazendo atualizações ativamente nos plug-ins há 5 horas. Neste ponto, não sabemos exatamente como o autor da ameaça conseguiu infectar esses plug-ins”.”
