Бэкдор в 93 плагинах и темах оформления AccessPress
Злоумышленникам удалось встроить бэкдор в 40 плагинов и 53 темы оформления для системы управления контентом WordPress, разрабатываемых компанией AccessPress, которая заявляет, что её дополнения используются на более чем 360 тысячах сайтов.
Результаты разбора инцидента пока не приводятся, но предполагается, что вредоносный код удалось внедрить в ходе компрометации сайта AccessPress, внеся изменения в предлагаемые для загрузки архивы с уже выпущенными релизами, так как бэкдор присутствует только в коде, распространяемом через официальный сайт AccessPress, но отсутствует в тех же выпусках дополнений, распространяемых через каталог WordPress.org.
Наличие вредоносных изменений было выявлено исследователем из компании JetPack (подразделение компании Automatic, занимающейся разработкой WordPress) в ходе изучения вредоносного кода, обнаруженного на сайте одного из клиентов. Анализ ситуации показал, что вредоносные изменения присутствовали в WordPress-дополнении, загруженном с официального сайта AccessPress. Остальные дополнения того же производителя также оказались подвержены вредоносной модификации, позволяющей получить полный доступ к сайту с правами администратора.
В ходе модификации злоумышленники добавили в архивы с плагинами и темами оформления файл initial.php, который был подключён через директиву include в файле functions.php. Для запутывания следов вредоносное содержимое в файле initial.php было закамуфлировано в виде блока данных в кодировке base64. Вредоносная вставка под видом получения изображения с сайта wp-theme-connect.com загружала в файл wp-includes/vars.php непосредственно код бэкдора.
