imágenes falsas
Docenas de complementos legítimos de WordPress descargados de sus fuentes originales han sido encontrados en la puerta trasera a través de un ataque a la cadena de suministro, dijeron los investigadores. La puerta trasera se ha encontrado en “bastantes” sitios que ejecutan el sistema de gestión de contenido de código abierto.
La puerta trasera les dio a los atacantes el control administrativo total de los sitios web que usaban al menos 93 complementos y temas de WordPress descargados de Temas de AccessPress. La puerta trasera fue descubierta por investigadores de seguridad de JetPack, el fabricante de software de seguridad propiedad de Automatic, proveedor del servicio de alojamiento de WordPress.com y uno de los principales contribuyentes al desarrollo de WordPress. En total, Jetpack descubrió que 40 temas de AccessPress y 53 complementos se vieron afectados.
Sin saberlo, proporcionar acceso al atacante
en un correo publicado el jueves, el investigador de Jetpack, Harald Eilertsen, dijo que las marcas de tiempo y otra evidencia sugirieron que las puertas traseras se introdujeron intencionalmente en una acción coordinada después de que se lanzaron los temas y complementos. El software afectado estaba disponible para su descarga directamente desde el sitio de AccessPress Themes. Los mismos temas y complementos reflejados en WordPress.org, el sitio oficial para desarrolladores del proyecto WordPress, permanecieron limpios.
“Los usuarios que usaron software obtenido directamente del sitio web de AccessPress, sin saberlo, proporcionaron acceso de puerta trasera a los atacantes, lo que resultó en un número desconocido de sitios web comprometidos”, escribió Ben Martin, investigador de la firma de seguridad web Sucuri, en un artículo separado. análisis de la puerta trasera.
Dijo que el software contaminado contenía un script llamado initial.php que se agregó al directorio principal del tema y luego se incluyó en el directorio principal functions.php Archivo. Initial.php, según muestra el análisis, actuó como un cuentagotas que usaba la codificación base64 para camuflar el código que descargaba una carga útil de wp-theme-connect[.]com y lo usé para instalar la puerta trasera como wp-includes/vars.php
La publicación de Jetpack dijo que la evidencia indica que el ataque a la cadena de suministro en AccessPress Themes se realizó en septiembre. Martin, sin embargo, dijo que la evidencia sugiere que la puerta trasera en sí es mucho más antigua que eso. Algunos de los sitios web infectados tenían cargas útiles de spam que se remontaban a casi tres años. Dijo que su mejor conjetura es que las personas detrás de la puerta trasera estaban vendiendo acceso a sitios infectados a personas que empujaban el spam web y el malware.
Escribió: “Con una oportunidad tan grande al alcance de la mano, uno pensaría que los atacantes habrían preparado una nueva carga útil o malware emocionante, pero, por desgracia, parece que el malware que hemos encontrado asociado con esta puerta trasera es más de lo mismo: spam y redireccionamientos a sitios de malware y estafa”.
La publicación de Jetpack proporciona nombres completos y versiones del software AccessPress infectado. Cualquier persona que ejecute un sitio de WordPress con las ofertas de esta empresa debe inspeccionar cuidadosamente sus sistemas para asegurarse de que no esté ejecutando una instancia de puerta trasera. Los propietarios de sitios también pueden querer considerar instalar un firewall de sitio web, muchos de los cuales habrían impedido que la puerta trasera funcionara.
El ataque es el último ejemplo de un ataque a la cadena de suministro, que compromete la fuente de un software legítimo en lugar de intentar infectar a usuarios individuales. La técnica permite a los malhechores infectar a un gran número de usuarios y tiene la ventaja del sigilo, ya que el malware comprometido se origina en un proveedor de confianza.
Los intentos de contactar a AccessPress Themes para obtener comentarios no tuvieron éxito.