• CyberCoach
• junio 27, 2024
• No hay comentarios

Se ha detectado que varios plugins de WordPress han sido comprometidos mediante la inyección de código malicioso, lo que permite la creación de cuentas de administrador no autorizadas con la intención de realizar acciones arbitrarias.

“El malware inyectado intenta crear una nueva cuenta de administrador y luego envía esos detalles al servidor controlado por el atacante”, informó Chloe Chamberland, investigadora de seguridad de Wordfence, en una alerta publicada el lunes.

“Adicionalmente, parece que el actor de la amenaza también ha inyectado JavaScript malicioso en el pie de página de los sitios web, lo que añade spam de SEO en todo el sitio.” Las cuentas de administrador tienen los nombres de usuario “Options” y “PluginAuth”, y la información de las cuentas fue enviada a la dirección IP 94.156.79[.]8.

Aún no está claro cómo los atacantes desconocidos lograron comprometer los plugins, pero los primeros indicios del ataque a la cadena de suministro de software se remontan al 21 de junio de 2024.

Los plugins afectados ya no están disponibles para su descarga en el directorio de plugins de WordPress, mientras se lleva a cabo una revisión:

• Social Warfare 4.4.6.4 – 4.4.7.1 (Versión corregida: 4.4.7.3) – Más de 30,000 instalaciones
• Blaze Widget 2.2.5 – 2.5.2 (Versión corregida: N/A) – Más de 10 instalaciones
• Wrapper Link Element 1.0.2 – 1.0.3 (Versión corregida: N/A) – Más de 1,000 instalaciones
• Contact Form 7 Multi-Step Addon 1.0.4 – 1.0.5 (Versión corregida: N/A) – Más de 700 instalaciones
• Simply Show Hooks 1.2.1 (Versión corregida: N/A) – Más de 4,000 instalaciones

Se aconseja a los usuarios de los plugins mencionados que revisen sus sitios en busca de cuentas de administrador sospechosas y las eliminen, además de eliminar cualquier código malicioso presente.