انزلق الباب الخلفي إلى العديد من مكونات WordPress الإضافية في هجوم مستمر على سلسلة التوريد

في خلال باب الخروج –

تعمل التحديثات الضارة المتوفرة من WordPress.org على إنشاء حساب مسؤول يتحكم فيه المهاجم.

قال باحثون أمنيون يوم الاثنين إن مكونات WordPress الإضافية التي تعمل على ما يصل إلى 36000 موقع ويب قد تم اختراقها في هجوم على سلسلة التوريد مجهولة المصدر.

حتى الآن، من المعروف أن خمسة مكونات إضافية قد تأثرت في الحملة، التي كانت نشطة حتى صباح يوم الاثنين، حسبما ذكر باحثون من شركة Wordfence الأمنية. ذكرت. خلال الأسبوع الماضي، أضافت جهات تهديد غير معروفة وظائف ضارة إلى التحديثات المتاحة للمكونات الإضافية على WordPress.org، الموقع الرسمي لبرنامج WordPress CMS مفتوح المصدر. عند التثبيت، تقوم التحديثات تلقائيًا بإنشاء حساب إداري يتحكم فيه المهاجم والذي يوفر التحكم الكامل في الموقع المخترق. تضيف التحديثات أيضًا محتوى مصممًا لعرض نتائج البحث.

تسميم البئر

وكتب الباحثون: “إن الكود الخبيث الذي تم حقنه ليس معقدًا جدًا أو غامضًا بشكل كبير ويحتوي على تعليقات طوال الوقت مما يسهل متابعته”. “يبدو أن أول عملية حقن تعود إلى 21 يونيو 2024، وكان ممثل التهديد لا يزال يجري تحديثات للمكونات الإضافية بشكل نشط منذ 5 ساعات مضت.”

الإضافات الخمسة هي:

• الحرب الاجتماعية (https://wordpress.org/plugins/social-warfare/) – 30.000 عملية تثبيت
• BLAZE أداة البيع بالتجزئة (https://wordpress.org/plugins/blaze-widget/) – 10 عمليات التثبيت
• عنصر رابط الغلاف (https://wordpress.org/plugins/wrapper-link-elementor/) – 1,000 عملية تثبيت
• نموذج الاتصال 7 ملحق متعدد الخطوات (https://wordpress.org/plugins/contact-form-7-multi-step-addon/) – 700 عملية تثبيت
• إظهار الخطافات ببساطة (https://wordpress.org/plugins/simply-show-hooks/) – 4000 عملية تثبيت

على مدى العقد الماضي، تطورت هجمات سلسلة التوريد لتصبح واحدة من أكثر العوامل فعالية لتثبيت البرامج الضارة. ومن خلال تسميم البرامج من المصدر نفسه، يمكن للجهات الفاعلة في مجال التهديد إصابة أعداد كبيرة من الأجهزة عندما لا يفعل المستخدمون سوى تشغيل تحديث موثوق أو ملف تثبيت. في وقت سابق من هذا العام، تم تجنب الكارثة بصعوبة بعد اكتشاف باب خلفي مزروع في مكتبة أكواد XZ Utils مفتوحة المصدر المستخدمة على نطاق واسع والتي يستخدمها، إلى حد كبير عن طريق الحظ، قبل أسبوع أو أسبوعين من الموعد المقرر للإصدار العام. أمثلة ل آخر مؤخرًا الموردين الهجمات يزخر.

يقوم الباحثون بإجراء مزيد من التحقيق في البرامج الضارة وكيف أصبحت متاحة للتنزيل في قناة WordPress الإضافية. لم يرد ممثلو WordPress وBLAZE وSocial Warfare على الأسئلة المرسلة عبر البريد الإلكتروني. تعذر الوصول إلى ممثلي مطوري المكونات الإضافية الثلاثة المتبقية لأنهم لم يقدموا أي معلومات اتصال على مواقعهم.

وقال باحثو Wordfence إن أول مؤشر وجدوه على الهجوم كان يوم السبت من هذا المشنور بواسطة أحد أعضاء فريق مراجعة ملحقات WordPress. وقام الباحثون بتحليل الملف الخبيث وحددوا أربعة مكونات إضافية أخرى مصابة برمز مماثل. وكتب الباحثون كذلك:

في هذه المرحلة، نعلم أن البرامج الضارة التي تم إدخالها تحاول إنشاء حساب مستخدم إداري جديد ثم ترسل هذه التفاصيل مرة أخرى إلى الخادم الذي يتحكم فيه المهاجم. بالإضافة إلى ذلك، يبدو أن جهة التهديد قامت أيضًا بحقن JavaScript ضار في تذييل مواقع الويب التي يبدو أنها تضيف رسائل غير مرغوب فيها لتحسين محركات البحث في جميع أنحاء موقع الويب. إن التعليمات البرمجية الضارة التي تم إدخالها ليست معقدة للغاية أو مبهمة بشكل كبير وتحتوي على تعليقات طوال الوقت مما يسهل متابعتها. يبدو أن أول عملية حقن تعود إلى 21 يونيو 2024، وكان جهة التهديد لا تزال تجري تحديثات للمكونات الإضافية بشكل نشط منذ 5 ساعات مضت. في هذه المرحلة، لا نعرف بالضبط كيف تمكن ممثل التهديد من إصابة هذه المكونات الإضافية.

يجب على أي شخص قام بتثبيت أحد هذه المكونات الإضافية إلغاء تثبيته على الفور وفحص موقعه بعناية بحثًا عن حسابات الإدارة التي تم إنشاؤها مؤخرًا والمحتوى الضار أو غير المصرح به. ستتلقى المواقع التي تستخدم أداة فحص الثغرات الأمنية في Wordfence تحذيرًا إذا كانت تقوم بتشغيل أحد المكونات الإضافية.

أوصى منشور Wordfence أيضًا الأشخاص بالتحقق من مواقعهم بحثًا عن اتصالات من عنوان IP 94.156.79.8 وحسابات المسؤول باستخدام خيارات أسماء المستخدمين أو PluginAuth.