Des plugins WordPress exécutés sur pas moins de 36 000 sites Web ont été détournés lors d’une attaque de chaîne d’approvisionnement d’origine inconnue, ont déclaré lundi des chercheurs en sécurité.
Jusqu’à présent, cinq plugins sont connus pour être concernés par la campagne, qui a été active lundi matin, ont rapporté des chercheurs de la société de sécurité Wordfence. Au cours de la semaine dernière, des acteurs malveillants inconnus ont ajouté des fonctions malveillantes aux mises à jour disponibles pour les plugins sur WordPress.org, le site officiel du logiciel CMS open source WordPress. Une fois installées, les mises à jour créent automatiquement un compte administratif contrôlé par l’attaquant qui offre un contrôle total sur le site compromis. Les mises à jour ajoutent également du contenu conçu pour optimiser les résultats de recherche.
Empoisonner le puits
« Le code malveillant injecté n’est pas très sophistiqué ni très obscurci et contient des commentaires qui le rendent facile à suivre », ont écrit les chercheurs. « La première injection semble remonter au 21 juin 2024, et l’acteur de la menace effectuait encore activement des mises à jour des plugins il y a à peine 5 heures. »
Les cinq plugins sont :
Au cours de la dernière décennie, les attaques contre la chaîne d’approvisionnement sont devenues l’un des vecteurs les plus efficaces pour installer des logiciels malveillants. En empoisonnant les logiciels à la source même, les acteurs malveillants peuvent infecter un grand nombre d’appareils lorsque les utilisateurs ne font rien d’autre que d’exécuter une mise à jour ou un fichier d’installation fiable. Plus tôt cette année, le désastre a été évité de peu après la découverte, en grande partie par chance, d’une porte dérobée implantée dans la bibliothèque de code open source XZ Utils, largement utilisée, une semaine ou deux avant la date prévue de sa sortie générale. Les exemples d’autres attaques récentes contre la chaîne d’approvisionnement abondent.
Les chercheurs sont en train d’enquêter plus en profondeur sur le malware et sur la manière dont il est devenu disponible en téléchargement sur le canal des plugins WordPress. Les représentants de WordPress, BLAZE et Social Warfare n’ont pas répondu aux questions envoyées par courrier électronique. Les représentants des développeurs des trois plugins restants n’ont pas pu être contactés car ils n’ont fourni aucune information de contact sur leurs sites.
Les chercheurs de Wordfence ont déclaré que la première indication qu’ils avaient trouvée de l’attaque provenait de ce message publié samedi par un membre de l’équipe d’examen des plugins WordPress. Les chercheurs ont analysé le fichier malveillant et identifié quatre autres plugins infectés par un code similaire. Les chercheurs ont écrit plus loin :
À ce stade, nous savons que le malware injecté tente de créer un nouveau compte d’utilisateur administratif, puis renvoie ces informations au serveur contrôlé par l’attaquant. En outre, il semble que l’acteur malveillant ait également injecté du JavaScript malveillant dans le pied de page des sites Web, ce qui semble ajouter du spam SEO sur l’ensemble du site Web. Le code malveillant injecté n’est pas très sophistiqué ni très obscurci et contient des commentaires qui le rendent facile à suivre. La première injection semble remonter au 21 juin 2024, et l’acteur malveillant effectuait encore activement des mises à jour des plugins il y a à peine 5 heures. À ce stade, nous ne savons pas exactement comment l’acteur malveillant a pu infecter ces plugins.
Toute personne ayant installé l’un de ces plugins doit le désinstaller immédiatement et inspecter soigneusement son site à la recherche de comptes d’administrateur récemment créés et de contenu malveillant ou non autorisé. Les sites qui utilisent Wordfence Vulnerability Scanner recevront un avertissement s’ils exécutent l’un des plugins.
Le message de Wordfence a également recommandé aux utilisateurs de vérifier sur leurs sites les connexions à partir de l’adresse IP 94.156.79.8 et les comptes d’administrateur avec les noms d’utilisateur Options ou PluginAuth.