También se inyectó JavaScript malicioso en el pie de página de los sitios web
Se han creado puertas traseras en varios plugins de WordPress para inyectar código malicioso que permite crear cuentas de administrador fraudulentas con el objetivo de realizar acciones arbitrarias.
"El malware inyectado intenta crear una nueva cuenta de usuario administrativo y luego envía esos detalles al servidor controlado por el atacante", dijo el lunes en una alerta la investigadora de seguridad de Wordfence, Chloe Chamberland.
"Además, parece que el actor de amenazas también inyectó JavaScript malicioso en el pie de página de los sitios web, lo que parece agregar spam de SEO en todo el sitio web".
Las cuentas de administrador tienen los nombres de usuario "Options" y "PluginAuth", y la información de la cuenta se extrae a la dirección IP 94.156.79[.]8.
Actualmente no se sabe cómo los atacantes desconocidos detrás de la campaña lograron comprometer los plugins, pero los primeros signos del ataque a la cadena de suministro de software se remontan al 21 de junio de 2024.
Los complementos en cuestión ya no están disponibles para descargar desde el directorio de complementos de WordPress en espera de una revisión continua:
• Social Warfare 4.4.6.4 – 4.4.7.1 (Versión parcheada: 4.4.7.3) - 30,000+ instalaciones
• Blaze Widget 2.2.5 – 2.5.2 (Versión parcheada: N/A) - 10+ instalaciones
• Wrapper Link Element 1.0.2 – 1.0.3 (Versión parcheada: N/A) - 1,000+ instalaciones
• Contact Form 7 Multi-Step Addon 1.0.4 – 1.0.5 (Versión parcheada: N/A) - 700+ instalaciones
• Simply Show Hooks 1.2.1 (Versión parcheada: N/A) - 4,000+ instalaciones
Se recomienda a los usuarios de los plugins antes mencionados que inspeccionen sus sitios en busca de cuentas de administrador sospechosas y las eliminen, además de eliminar cualquier código malicioso.