Um ataque à cadeia de suprimentos expôs milhares de sites após novos proprietários atualizarem plugins populares do WordPress com códigos maliciosos
Dezenas de
plugins para
WordPress foram
comprometidos por backdoors que distribuem
códigos maliciosos para
milhares de sites que utilizam essas extensões. A descoberta foi feita após os plugins serem vendidos para um novo proprietário corporativo, que descobriu os backdoors no código-fonte.
Austin Ginder, fundador da Anchor Hosting, alertou sobre o ataque em um post de blog na semana passada, descrevendo um ataque à cadeia de suprimentos contra a fabricante de plugins Essential Plugin. Segundo Ginder, alguém comprou a Essential Plugin no ano passado e adicionou o backdoor ao código-fonte dos plugins logo em seguida.
O backdoor permaneceu inativo até o início deste mês, quando entrou em atividade e passou a distribuir código malicioso para qualquer site com os plugins instalados. Todavia, a Essential Plugin afirma em seu site ter mais de 400 mil instalações de plugins e mais de 15 mil clientes. A página de instalação de plugins do WordPress indica que os plugins afetados estão em mais de 20 mil instalações ativas do WordPress.
Riscos da mudança de propriedade
Os plugins permitem que proprietários de sites baseados no WordPress estendam a funcionalidade do site, mas, ao fazer isso, concedem aos plugins acesso às suas instalações, o que pode expor esses sites a extensões maliciosas e possível comprometimento.
A Ginder alertou que o WordPress não notifica os usuários sobre mudanças de propriedade de plugins. O que expõe os usuários a potenciais ataques de takeover (tomada de controle) por novos proprietários.
De acordo com Ginder, esta é a segunda descoberta de sequestro de plugin WordPress em duas semanas. Pesquisadores de segurança há muito alertam sobre os riscos de atores maliciosos comprarem software e alterarem seu código para comprometer um grande número de computadores ao redor do mundo.
Plugins removidos do diretório do WordPress
