Des plugins sur WordPress.org détournés lors d'une attaque contre la chaîne d'approvisionnement

Un acteur malveillant a modifié le code source d'au moins cinq plugins hébergés sur WordPress.org pour inclure des scripts PHP malveillants qui créent de nouveaux comptes avec des privilèges administratifs sur les sites Web qui les exécutent.

L'attaque a été découverte hier par l'équipe Wordfence Threat Intelligence, mais les injections malveillantes semblent avoir eu lieu vers la fin de la semaine dernière, entre le 21 et le 22 juin.

Dès que Wordfence a découvert la faille, la société a informé les développeurs du plugin, ce qui a entraîné les correctifs sont publiés hier pour la plupart des produits.

Ensemble, les cinq plugins ont été installés sur plus de 35 000 sites Web :

Publicité
  • Social Warfare 4.4.6.4 à 4.4.7.1 (corrigé dans la version 4.4.7.3)
  • Blaze Widget 2.2.5 à 2.5.2 (corrigé dans la version 2.5.4)
  • Wrapper Link Element 1.0.2 à 1.0.3 (corrigé dans la version 1.0.5)
  • Contact Form 7 Multi-Step Addon 1.0.4 à 1.0.5 (corrigé dans la version 1.0.7)
  • Simply Show Hooks 1.2.1 à 1.2.2 (aucun correctif disponible pour le moment)

Wordfence indique qu'il ne sait pas comment l'acteur malveillant a réussi à accéder au code source des plugins, mais une enquête est en cours.

Bien qu’il soit possible que l’attaque affecte un plus grand nombre de plugins WordPress, les preuves actuelles suggèrent que la compromission se limite à l’ensemble des cinq plugins mentionnés ci-dessus.

Fonctionnement de la porte dérobée et IoC

Le code malveillant contenu dans les plugins infectés tente de créer de nouveaux comptes d’administrateur et d’injecter du spam SEO dans le site Web compromis.

« À ce stade, nous savons que le malware injecté tente de créer un nouveau compte d'utilisateur administratif, puis renvoie ces informations au serveur contrôlé par l'attaquant », explique Wordfence.

« En outre, il semble que l'acteur malveillant ait également injecté du JavaScript malveillant dans le pied de page des sites Web, ce qui semble ajouter du spam SEO sur l'ensemble du site Web. »

Les données sont transmises à l'adresse IP 94.156.79[.]8, tandis que les comptes administrateur créés arbitrairement sont nommés « Options » et « PluginAuth », disent les chercheurs.

Les propriétaires de sites Web qui remarquent de tels comptes ou trafic vers l'adresse IP de l'attaquant doivent effectuer une analyse et un nettoyage complets des logiciels malveillants.

« Si l'un de ces plugins est installé, vous devez considérer votre installation comme compromise et passer immédiatement en mode réponse aux incidents. » – Clôture de mots.

Wordfence note que certains des plugins concernés ont été temporairement supprimés de WordPress.org, ce qui peut entraîner des avertissements pour les utilisateurs même s'ils utilisent une version corrigée.

5/5 - (354 votes)
Publicité
Article précédentCall of Duty Warzone Mobile apporte du contenu apocalyptique dans la mise à jour de mi-saison de la saison 4
Article suivantPourquoi GTA 5 se vend-il toujours aussi bien ?
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici