Плагины и темы для WordPress использовались для внедрения бэкдоров
Масштабная атака на цепочку поставок затронула 93 темы и плагина для WordPress, в которые были внедрены бэкдоры, дававшие злоумышленникам полный доступ к сайтам.
Эксперты компании JetPack сообщили, что атака началась еще в сентябре 2021 года: 40 тем и 53 плагина для WordPress, размещенных на сайте разработчика (непальской компании AccessPress Themes), оказались заражены малварью. Подчеркивается, что бэкдоры были внедрены в код уже после того, темы и плагины были выпущены разработчком.
«Зараженные расширения содержали дроппер для веб-шелла, который давал злоумышленникам полный доступ к зараженным сайтам, — пишут исследователи — Те же расширения были безопасны, если загружались и устанавливались непосредственно из каталога на WordPress.org».
По данным JetPack, испорченное ПО содержало скрипт itial.php
, который был добавлен в основной каталог, а затем включен в основной файл functions.php
. Initial.php
действовал как дроппер и использовал base64
для маскировки кода. Он загружал полезную нагрузку с wp-theme-connect[.]com и использовал ее для установки бэкдора как wp-includes/vars.php. После установки дроппер самоуничтожался, стремясь скрыть следы атаки.