El código malicioso inyectado durante la semana pasada en cinco complementos de WordPress crea una nueva cuenta administrativa, informa la firma de seguridad de WordPress Defiant.
El código fue descubierto el lunes, después de que el equipo de revisión del complemento de WordPress.org se enterara de que un actor de amenazas se había apoderado del complemento de Social Warfare y había agregado el código malicioso en versiones recientes.
A partir del 22 de junio, se lanzaron varias versiones del complemento con el código inyectado en su interior. Las versiones 4.4.6.4 a 4.4.7.1 de Social Warfare contienen el código malicioso y se recomienda a los usuarios que actualicen a la versión 4.4.7.3 lo antes posible.
“Si ha utilizado las versiones 4.4.6.4 a 4.4.7.1 del complemento Social Warfare, le recomendamos encarecidamente que realice una revisión en profundidad de la actividad de su sitio y los detalles de la cuenta de usuario”, señala el equipo de WordPress.
Mientras investigaba el incidente, Defiant descubrió que otros cuatro complementos, a saber, Blaze Widget, Wrapper Link Element, Contact Form 7 Multi-Step Addon y Simply Show Hooks, también contienen el código malicioso.
“En esta etapa, sabemos que el malware inyectado intenta crear una nueva cuenta de usuario administrativo y luego envía esos detalles al servidor controlado por el atacante. Además, parece que el actor de amenazas también inyectó JavaScript malicioso en el pie de página de los sitios web, lo que parece agregar spam de SEO en todo el sitio web”, explica Defiant.
Las primeras infecciones se observaron el 21 de junio y el actor de amenazas continuó actualizando los complementos comprometidos hasta el lunes.
Se recomienda a los usuarios de Blaze Widget versiones 2.2.5 a 2.5.2, Wrapper Link Element versiones 1.0.2 y 1.0.3, Contact Form 7 Multi-Step Addon versiones 1.0.4 y 1.0.5 y Simply Show Hooks 1.2.1. para eliminar los complementos y buscar cuentas administrativas fraudulentas en sus sitios web.
El equipo de WordPress cerró los cinco complementos y ya no están disponibles para descargar. Si bien hay versiones más nuevas disponibles para cuatro de ellos, no está claro si las últimas iteraciones han sido eliminadas del código malicioso, excepto la versión 4.4.7.3 de Social Warfare.
Los complementos infectados son de código abierto y tienen una base de instalación activa combinada de más de 30.000 sitios. Según Defiant, los complementos probablemente se vieron comprometidos como parte de un ataque a la cadena de suministro.
Info – Ciberseguridad Latam