کمیته رکن چهارم – بیش از ۳۰ افزونه وردپرس از مجموعه EssentialPlugin به کد مخرب آلوده شدهاند. این آلودگی از طریق بهروزرسانی رسمی منتشر شده و دسترسی غیرمجاز به سایتها را فراهم میکند.
به گزارش کمیته رکن چهارم، بررسیها نشان میدهد این بکدور از مرداد ۱۴۰۴ در کد افزونهها وجود داشته، اما اخیراً فعال شده و بهصورت گسترده به کاربران منتقل شده است. این افزونهها که دارای صدها هزار نصب فعال هستند، پس از فعالسازی با یک سرور خارجی ارتباط برقرار کرده و کد مخرب را به فایلهای اصلی سایت تزریق میکنند.
تحلیلها نشان میدهد بدافزار با ایجاد صفحات جعلی، ریدایرکتهای مخرب و دستکاری نتایج جستجو، فعالیت میکند. همچنین از تکنیکهای پنهانکاری پیشرفته استفاده شده بهطوری که محتوای مخرب تنها برای موتورهای جستجو نمایش داده میشود و از دید مدیران سایت مخفی میماند.
با وجود حذف این افزونهها از مخزن رسمی و انتشار بهروزرسانی برای غیرفعالسازی بکدور، خطر همچنان باقی است، زیرا کد مخرب ممکن است در فایلهای اصلی سایت مانند wp-config.php باقی مانده باشد.
پیشینه
حملات زنجیره تأمین در اکوسیستم وردپرس در حال افزایش است و مهاجمان با نفوذ به فرآیند بهروزرسانی افزونهها، کد مخرب را از طریق منابع معتبر منتشر میکنند. این روش بهدلیل اعتماد کاربران، تأثیر گستردهتری دارد.
منبع: BleepingComputer
