Nhiều plugin WordPress đã được backdoor để tiêm mã độc hại giúp tạo tài khoản quản trị viên giả mạo với mục đích thực hiện các hành động tùy ý.
"Phần mềm độc hại được tiêm cố gắng tạo một tài khoản người dùng quản trị mới và sau đó gửi những chi tiết đó trở lại máy chủ do kẻ tấn công kiểm soát", nhà nghiên cứu bảo mật Chloe Chamberland của Wordfence cho biết trong một cảnh báo hôm thứ Hai.
"Ngoài ra, có vẻ như tác nhân đe dọa cũng tiêm JavaScript độc hại vào chân trang của các trang web dường như thêm spam SEO trên toàn bộ trang web."
Các tài khoản quản trị viên có tên người dùng "Tùy chọn" và "PluginAuth", với thông tin tài khoản được trích xuất đến địa chỉ IP 94.156.79 [.] 8.
Hiện tại vẫn chưa biết làm thế nào những kẻ tấn công ẩn danh đằng sau chiến dịch có thể xâm nhập các plugin, nhưng những dấu hiệu sớm nhất của cuộc tấn công chuỗi cung ứng phần mềm đã có từ ngày 21 tháng 6 năm 2024.
Các plugin được đề cập không còn có sẵn để tải xuống từ thư mục plugin WordPress đang chờ xem xét liên tục -
- Social Warfare 4.4.6.4 – 4.4.7.1 (Phiên bản vá: 4.4.7.3) - 30.000+ lượt cài đặt
- Blaze Widget 2.2.5 – 2.5.2 (Phiên bản vá: N/A) - 10+ lượt cài đặt
- Wrapper Link Element 1.0.2 – 1.0.3 (Phiên bản vá: N/A) - 1.000+ lượt cài đặt
- Contact Form 7 Multi-Step Addon 1.0.4 – 1.0.5 (Phiên bản vá: N/A) - 700+ lượt cài đặt
- Đơn giản chỉ cần hiển thị Hooks 1.2.1 (Phiên bản vá: N / A) - 4.000+ cài đặt
Người dùng các plugin nói trên nên kiểm tra trang web của họ để tìm tài khoản quản trị viên đáng ngờ và xóa chúng, ngoài việc xóa bất kỳ mã độc hại nào.