Vários plug-ins do WordPress foram backdoorados para injetar código malicioso que torna possível criar contas de administrador desonestas com o objetivo de realizar ações arbitrárias.
“O malware injetado tenta criar uma nova conta de usuário administrativo e, em seguida, envia esses detalhes de volta ao servidor controlado pelo invasor”, disse Chloe Chamberland, pesquisadora de segurança do Wordfence, em um alerta de segunda-feira.
“Além disso, parece que o agente da ameaça também injetou JavaScript malicioso no rodapé dos websites, o que parece adicionar spam de web optimization em todo o website.”
As contas de administrador têm os nomes de usuário “Choices” e “PluginAuth”, com as informações da conta exfiltradas para o endereço IP 94.156.79(.)8.
Atualmente não se sabe como os invasores desconhecidos por trás da campanha conseguiram comprometer os plug-ins, mas os primeiros sinais do ataque à cadeia de fornecimento de software program datam de 21 de junho de 2024.
Os plug-ins em questão não estão mais disponíveis para obtain no diretório de plug-ins do WordPress, aguardando revisão contínua –
Os usuários dos plug-ins mencionados são aconselhados a inspecionar seus websites em busca de contas de administrador suspeitas e excluí-las, além de remover qualquer código malicioso.
