Birden fazla WordPress eklentisi, keyfi eylemler gerçekleştirmek amacıyla hileli yönetici hesapları oluşturmayı mümkün kılan kötü amaçlı kod enjekte etmek üzere arka kapıyla kapatılmıştır.
Wordfence güvenlik araştırmacısı Chloe Chamberland Pazartesi günü yaptığı açıklamada, “Enjekte edilen kötü amaçlı yazılım, yeni bir yönetici kullanıcı hesabı oluşturmaya çalışıyor ve ardından bu ayrıntıları saldırganın kontrolündeki sunucuya geri gönderiyor.” dedi.
“Ayrıca, tehdit aktörünün, web sitesi genelinde SEO spam’i eklediği görülen web sitelerinin altbilgisine kötü amaçlı JavaScript de enjekte ettiği görülüyor.”
Yönetici hesapları “Options” ve “PluginAuth” kullanıcı adlarına sahiptir ve hesap bilgileri 94.156.79 IP adresine sızdırılmıştır.[.]8.
Kampanyanın arkasındaki bilinmeyen saldırganların eklentileri nasıl tehlikeye atmayı başardıkları şu anda bilinmiyor ancak yazılım tedarik zinciri saldırısının ilk işaretleri 21 Haziran 2024’e kadar uzanıyor.
Söz konusu eklentiler, devam eden inceleme nedeniyle artık WordPress eklenti dizininden indirilemiyor –
Bahsi geçen eklentilerin kullanıcılarına, sitelerinde şüpheli yönetici hesaplarını incelemeleri ve bunları silmeleri, ayrıca kötü amaçlı kodları kaldırmaları tavsiye edilir.