من فضلك تسجيل الدخول أو تسجيل لتفعل ذلك.

قام أحد عناصر التهديد بتعديل الكود المصدري لخمسة مكونات إضافية على الأقل مستضافة على WordPress.org لتشمل نصوص PHP البرمجية الضارة التي تنشئ حسابات جديدة تتمتع بامتيازات إدارية على مواقع الويب التي تقوم بتشغيلها.

تم اكتشاف الهجوم من قبل فريق Wordfence Threat Intelligence بالأمس، ولكن يبدو أن الحقن الخبيثة قد حدثت في نهاية الأسبوع الماضي، بين 21 و22 يونيو.

وبمجرد اكتشاف Wordfence للاختراق، قامت الشركة بإخطار مطوري المكونات الإضافية، مما أدى إلى حدوثه يتم الافراج عن بقع أمس لمعظم المنتجات.

تم تثبيت المكونات الإضافية الخمسة معًا على أكثر من 35000 موقع ويب:

  • الحرب الاجتماعية 4.4.6.4 إلى 4.4.7.1 (تم إصلاحها في الإصدار 4.4.7.3)
  • Blaze Widget 2.2.5 إلى 2.5.2 (تم إصلاحه في الإصدار 2.5.4)
  • عنصر رابط الغلاف 1.0.2 إلى 1.0.3 (تم إصلاحه في الإصدار 1.0.5)
  • نموذج الاتصال 7 الملحق متعدد الخطوات 1.0.4 إلى 1.0.5 (تم إصلاحه في الإصدار 1.0.7)
  • ما عليك سوى إظهار الخطافات 1.2.1 إلى 1.2.2 (لا يتوفر إصلاح حتى الآن)

يشير Wordfence إلى أنه لا يعرف كيف تمكن ممثل التهديد من الوصول إلى الكود المصدري للمكونات الإضافية ولكن التحقيق جارٍ في الأمر.

على الرغم من أنه من المحتمل أن يؤثر الهجوم على عدد أكبر من مكونات WordPress الإضافية، إلا أن الأدلة الحالية تشير إلى أن الاختراق يقتصر على المجموعة المذكورة أعلاه من المكونات الإضافية الخمسة.

عملية الباب الخلفي ومؤشرات المخاطر

تحاول التعليمات البرمجية الضارة الموجودة في المكونات الإضافية المصابة إنشاء حسابات إدارية جديدة وإدخال رسائل غير مرغوب فيها لتحسين محركات البحث (SEO) في موقع الويب المخترق.

يوضح Wordfence: “في هذه المرحلة، نعلم أن البرامج الضارة التي تم إدخالها تحاول إنشاء حساب مستخدم إداري جديد ثم ترسل هذه التفاصيل مرة أخرى إلى الخادم الذي يتحكم فيه المهاجم”.

“بالإضافة إلى ذلك، يبدو أن جهة التهديد قامت أيضًا بحقن JavaScript ضار في تذييل مواقع الويب التي يبدو أنها تضيف رسائل غير مرغوب فيها لتحسين محركات البحث في جميع أنحاء موقع الويب.”

يتم نقل البيانات إلى عنوان IP 94.156.79[.]8، في حين أن حسابات الإدارة التي تم إنشاؤها بشكل تعسفي تسمى “خيارات” و”PluginAuth”، كما يقول الباحثون.

يجب على مالكي مواقع الويب الذين يلاحظون مثل هذه الحسابات أو حركة المرور إلى عنوان IP الخاص بالمهاجم إجراء فحص كامل للبرامج الضارة وتنظيفها.

“إذا كان لديك أي من هذه المكونات الإضافية مثبتة، فيجب أن تعتبر التثبيت الخاص بك معرضًا للخطر والانتقال فورًا إلى وضع الاستجابة للحوادث.” – وردفينس.

يشير Wordfence إلى أنه تم حذف بعض المكونات الإضافية المتأثرة مؤقتًا من WordPress.org، مما قد يؤدي إلى حصول المستخدمين على تحذيرات حتى إذا كانوا يستخدمون إصدارًا مصححًا.

اقرأ أكثر

26 0 يونيو 26, 2024
أبرز اللقطات من مباراة تشيلي والأرجنتين | كوبا أمريكا 2024
كيفية استخدام وضع الألعاب في هواتف آيفون في نظام iOS 18

Reactions

0
0
0
0
0
0
بالفعل كان رد فعل لهذا المنصب.

ردود الفعل