WordPress: rilevati 5 plugin che contengono malware sono in circolazione

Pietro Melillo : 25 Giugno 2024 14:13

Il 24 giugno 2024, Wordfence ha rivelato un attacco alla supply chain sui plugin di WordPress, che ha portato alla compromissione di cinque plugin con codice malevolo. I plugin interessati sono (con relative versioni):

1. Social Warfare (versioni 4.4.6.4 a 4.4.7.1)
2. Blaze Widget (versioni 2.2.5 a 2.5.2)
3. Wrapper Link Element (versioni 1.0.2 a 1.0.3)
4. Contact Form 7 Multi-Step Addon (versioni 1.0.4 a 1.0.5)
5. Simply Show Hooks (versione 1.2.1)

Il codice malevolo mirava a creare un nuovo utente amministratore e a iniettare spam SEO nei footer dei siti. Le versioni compromesse non sono più elencate nel repository di WordPress.

Dettagli dell’Attacco

L’attacco è stato rilevato da Wordfence analizzando il plugin Social Warfare, dopo un post sul forum del team di revisione dei plugin di WordPress. Ulteriori indagini hanno rivelato che altri quattro plugin erano stati compromessi in modo simile. Il malware tentava di creare un account amministratore non autorizzato e inviare le credenziali a un server controllato dagli attaccanti. Inoltre, aggiungeva spam SEO tramite JavaScript malevolo.

Risposta e Raccomandazioni

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Wordfence ha consigliato agli utenti di:

• Verificare gli Indicatori di Compromissione: Inclusi account amministrativi non autorizzati e connessioni all’indirizzo IP 94[.]156[.]79[.]8[.]
• Rimuovere i Plugin Compromessi: Fino a quando non viene confermata una versione sicura, gli utenti dovrebbero rimuovere i plugin interessati.
• Eseguire una Verifica Completa della Sicurezza: Utilizzando strumenti come lo scanner di vulnerabilità di Wordfence o il CLI.

Per i passaggi dettagliati su come mettere in sicurezza i siti compromessi, Wordfence ha fornito una guida dettagliata sul loro sito web.

Conclusione

Questo attacco sottolinea l’importanza di una vigilanza costante e di una risposta tempestiva agli avvisi di sicurezza. Gli utenti sono incoraggiati a rimanere aggiornati sulla sicurezza dei plugin e ad adottare le migliori pratiche per la gestione dei siti WordPress per mitigare tali rischi.

Per maggiori dettagli, visitare il sito con il post originale di Wordfence.

Pietro Melillo
Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Lista degli articoli