Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Una backdoor è stata rilevata in un plugin di WordPress che ha colpito migliaia di siti web. Il malware si è attivato dopo che il codice ha cambiato proprietà dello sviluppatore. Il software ha quindi iniziato a distribuire malware silenziosamente, sfruttando la fiducia degli utenti. Il caso evidenzia i rischi legati alla catena di approvvigionamento nei plugin WordPress e la mancanza di trasparenza nei passaggi di proprietà.
Nell’ecosistema di WordPress è stata scoperta una minaccia nascosta, rimasta a lungo inosservata. Decine di plugin popolari installati su migliaia di siti web sono risultati infetti da una backdoor integrata al loro interno, in grado di iniettare silenziosamente codice dannoso.
Il problema è emerso in seguito a un cambio di proprietà dello sviluppatore di Essential Plugin. Austin Ginder, fondatore di Anchor Hosting, ha spiegato che i nuovi proprietari hanno acquisito l’azienda lo scorso anno e hanno poi introdotto un meccanismo dannoso nel codice sorgente dei prodotti.
Fino a poco tempo fa, la backdoor era rimasta asintomatica, ma all’inizio di aprile si è attivata e ha iniziato a distribuire codice dannoso ai siti web con i plugin installati.
Secondo quanto dichiarato dalla stessa Essential Plugin, le soluzioni dell’azienda sono state installate oltre 4.000.000 di volte e la sua base clienti supera i 15.000 utenti. Nel frattempo, la directory di WordPress mostra che le estensioni infette erano presenti su almeno 20.000 siti web attivi.
I plugin di WordPress offrono ai proprietari di siti web flessibilità e funzionalità aggiuntive, ma garantiscono anche l’accesso al sistema. Questo accesso diventa una vulnerabilità se il codice del plugin viene modificato da malintenzionati per scopi malevoli. Ginder ha inoltre evidenziato un altro problema: gli utenti della piattaforma non vengono informati dei cambiamenti di proprietà dei plugin, creando il rischio di acquisizioni occulte e conseguenti attacchi.
Questa situazione non è un caso isolato.
Nelle ultime settimane, gli specialisti hanno individuato un secondo caso di compromissione di un plugin tramite un cambio di proprietà. Attacchi di questo tipo sono da tempo oggetto di discussione nel settore: i criminali acquistano prodotti popolari e sfruttano la fiducia degli utenti per distribuire in massa codice dannoso.
Dopo la scoperta della minaccia, i plugin infetti sono stati rimossi dalla directory ufficiale di WordPress e il loro stato è stato modificato in “Chiuso definitivamente”.
Tuttavia, si consiglia ai proprietari dei siti web di verificare autonomamente le estensioni installate e rimuovere i componenti sospetti. Ginder ha pubblicato un elenco dei plugin interessati sul suo blog .
I rappresentanti di Essential Plugin non hanno risposto alle richieste dei giornalisti.
