В 93 плагинах и темах оформления для CMS WordPress выявлено вредоносное ПО

Вредоносная программная вставка, позволяющая обеспечить скрытый доступ (бэкдор) к серверам с системой управления контентом (CMS) WordPress, выявлена в 40 дополнениях (плагинах) и 50 темах оформления CMS специалистами компании Automattic Inc, 18 января сообщается на сайте компании по разработке семейства дополнений Jetpack.

Вредоносные вставки в плагины и темы оформления злоумышленникам удалось внедрить во время компрометации сайта компании AccessPress, которая и разрабатывает данные дополнения. Злоумышленники внедрили небольшой участок кода, упакованный для меньшей заметности в формат Base64.

Вредоносный код был вставлен в файл «initial.php», который разместили в текущих версиях архивов с темами и дополнениями. Файл подключался с помощью директивы «include» в файл «functions.php». При вызове код из «initial.php» загружал основное тело вредоносного программного обеспечения (ПО) в файл «wp-includes/vars.php» WordPress. Загрузка осуществлялась по ссылке, замаскированной под изображение. Он уже осуществлял функции бэкдора.

Темы и плагины разработки AccessPress используются на 360 тыс. веб-сайтов. Сколько именно из них оказались зараженными вредоносным ПО — пока не известно. Специалисты компании Sucuri смогли выявить отдельные сайты, на которых было установлено зараженное ПО и инициирован бэкдор.

Первое зараженное дополнение было выявлено еще 15 октября 2021 года, но специалисты долгое время не могли добиться реакции от AccessPress. После подключения команды разработчиков WordPress архивы с зараженными версиями были удалены. 17 января были опубликованы новые версии тем и дополнений.