Uma equipe de sete pesquisadores acadêmicos do Georgia Institute of Technology descobriu que existem perto de 25 mil plataformas de marketplace baseadas em WordPress que continuam utilizando plugins contaminados com código malicioso. O trabalho, intitulado “Mistrust Plugins You Must: A Large-Scale Study Of Malicious Plugins In WordPress Marketplaces”, foi apresentado no 31° simpósio USENIX Security, que ocorreu entre 10 e 12 de Agosto em Boston.
O estudo afirma que os invasores abusam da confiança dos usuários, vendendo plugins contaminados em mercados legítimos, pirateando plugins populares e infectando plugins após a implantação. A pesquisa estudou a evolução dos plugins em mais de 400 mil servidores web de produção desde 2012 por meio do YODA, uma estrutura automatizada para detectar plugins maliciosos e rastrear sua origem.
O YODA descobriu 47.337 plugins maliciosos em 24.931 sites. Os pesquisadores calculam que US$ 41,5 mil foram gastos em 3.685 plugins maliciosos vendidos em mercados de plugins legítimos. Plugins piratas enganaram os desenvolvedores, faturando US$ 228 mil. Os ataques pós-implantação infectaram plugins anteriormente benignos que custaram US$ 834 mil a seus donos. Por fim, o YODA informa que mais de 94% desses plugins maliciosos ainda estão ativos até hoje.
De acordo com os pesquisadores, os adversários compram a base de código de plugins gratuitos populares e, em seguida, adicionam código malicioso e esperam que os usuários apliquem atualizações automáticas. Os invasores também foram observados se passando por autores de plugins benignos para distribuir malware por meio de plugins piratas.
“Enquanto os proprietários de sites confiavam no ecossistema de plugins e gastavam um total de US$ 7,3 milhões apenas nos plugins em nosso conjunto de dados, descobrimos que essa confiança é frequentemente quebrada pelos ganhos monetários dos invasores”, dizem os acadêmicos.
