WordPress.orgのプラグインがサプライチェーン攻撃でバックドアされる

WordPress.orgでホストされている少なくとも5つのプラグインのソースコードが、悪意のあるPHPスクリプトを含むように変更され、プラグインを実行しているウェブサイトに管理者権限を持つ新しいアカウントが作成されました。

この攻撃は昨日Wordfence Threat Intelligenceチームによって発見されましたが、悪意のあるインジェクションは先週末、6月21日から6月22日にかけて発生したようです。

Wordfenceは侵入を発見するとすぐにプラグイン開発者に通知し、その結果、昨日ほとんどの製品にパッチがリリースされた。

5つのプラグインを合わせると、35,000以上のウェブサイトにインストールされている：

• Social Warfare 4.4.6.4から4.4.7.1（バージョン4.4.7.3で修正済み）
• Blaze Widget 2.2.5 から 2.5.2 (バージョン 2.5.4 で修正)
• Wrapper Link Element 1.0.2 から 1.0.3 へ (バージョン 1.0.5 で修正)
• Contact Form 7 マルチステップアドオン 1.0.4 から 1.0.5 へ (バージョン 1.0.7 で修正)
• Simply Show Hooks 1.2.1 から 1.2.2 (修正はまだありません)

Wordfenceは、脅威行為者がどのようにしてプラグインのソースコードにアクセスできたのかはわからないが、調査中であると述べている。

この攻撃はより多くのWordPressプラグインに影響を及ぼしている可能性がありますが、現在のところ、侵害は前述の5つのセットに限られていることを示唆しています。

バックドア操作とIoC

感染したプラグインの悪質なコードは、新しい管理者アカウントを作成し、侵害されたウェブサイトにSEOスパムを注入しようとします。

「現段階では、注入されたマルウェアは新しい管理者ユーザーアカウントの作成を試み、その詳細を攻撃者が管理するサーバーに送り返すことがわかっています」とWordfenceは説明する。

「さらに、脅威の主体は、ウェブサイト全体にSEOスパムを追加するように見える悪意のあるJavaScriptをウェブサイトのフッターに注入したようだ。

データはIPアドレス94.156.79[.]8に送信され、任意に作成された管理者アカウントは “Options “と “PluginAuth “という名前になっていると研究者は述べている。

このようなアカウントや攻撃者のIPアドレスへのトラフィックに気づいたウェブサイトの所有者は、完全なマルウェアスキャンとクリーンアップを実行する必要があります。

Wordfenceは、影響を受けたプラグインの一部がWordPress.orgから一時的にリスト解除されたため、パッチが適用されたバージョンを使用していても警告が表示される可能性があると指摘している。