新的供应链攻击影响了 WordPress.org 上托管的多个插件。Wordfence 威胁情报团队于 2024 年 6 月 24 日发现了此 WordPress 漏洞,最初围绕 Social Warfare 插件。根据 WordPress.org 插件审查团队的论坛帖子,该插件早在 2024 年 6 月 22 日就被发现插入了恶意代码。
在发现 Social Warfare 中的恶意文件后,Wordfence 团队立即将其上传到其内部威胁情报平台进行分析。随后,他们的调查发现,相同的恶意代码还感染了另外四个插件。
尽管我们努力将这些受到感染的插件通知给 WordPress 插件团队,但得到的响应仍然有限,尽管受影响的插件已从官方存储库中删除。
WordPress 插件漏洞导致供应链攻击
据Wordfence 研究人员介绍,列出的导致供应链攻击的插件包括 5 个流行的名字。其中,Social Warfare 版本 4.4.6.4 至 4.4.7.1 遭到入侵,但此后已发布修补版本 (4.4.7.3)。Blaze Widget 版本 2.2.5 至 2.5.2 和 Wrapper Link Element 版本 1.0.2 至 1.0.3 也受到影响,目前尚无可用的修补版本。
有趣的是,尽管 Wrapper Link Element 1.0.0 版似乎已删除恶意代码,但该版本低于受感染的版本,这增加了更新过程的复杂性。建议用户卸载该插件,直到发布正确标记的版本。同样受到影响的还有 Contact Form 7 Multi-Step Addon 1.0.4 至 1.0.5 版和 Simply Show Hooks 1.2.1 版,目前这两个插件均未发布修补版本。
注入的恶意软件的主要功能是尝试在受影响的网站上创建未经授权的管理用户帐户。然后利用这些帐户将敏感数据泄露回攻击者控制的服务器。此外,攻击者还将恶意JavaScript嵌入到受感染网站的页脚中,通过引入垃圾内容可能会影响 SEO。
正在进行的调查和恢复
尽管恶意代码被发现,但它以相对简单和缺乏严重混淆而著称,通篇都有注释,使其更容易追踪。攻击者似乎早在 2024 年 6 月 21 日就开始了他们的活动,并且在被发现前几个小时还在积极更新插件。
Wordfence 团队目前正在进行全面分析,以开发恶意软件签名,旨在检测这些插件的受感染版本。他们建议网站管理员使用 Wordfence 漏洞扫描程序检查易受攻击的插件并立即采取行动——要么更新到修补版本,要么彻底删除受影响的插件。
关键的入侵指标包括攻击者服务器使用的 IP 地址 94.156.79.8,以及特定的未经授权的管理用户名,例如“Options”和“PluginAuth”。为了降低风险,建议管理员进行全面的安全审核,包括检查未经授权的帐户并进行彻底的恶意软件扫描。
发表评论