Основатель Anchor Hosting Остин Гиндер раскрыл информацию о четвертой за месяц атаке на цепочку поставок плагинов WordPress.org. Бэкдор был выявлен с помощью WP Beacon, нового автоматизированного инструмента сканирования, разработанного Гиндером для обнаружения скрытых вредоносных паттернов.
Команда WordPress Plugins Team 26 апреля закрыла плагин Scroll To Top, на следующий день после того, как Гиндер сообщил, что его покупатель с 2023 года использовал секретный сервер обновлений для обслуживания 20 000 сайтов.
30 апреля Гиндер опубликовал подробное описание атаки. По его словам, WP Beacon выявил этот плагин во время сканирования 2 000 самых популярных решений на WordPress.org. Выяснилось, что он опрашивает сторонний сервер обновлений. Владелец плагина, купивший его в 2023 году, зарегистрировал домен cdnstaticsync.com за девять дней до того, как в ноябре 2023 года внедрил код бэкдора.
С тех пор каждая установка постоянно опрашивает этот домен по расписанию cron. В феврале 2024 года сервер начал распространять версию 1.5.5, которая не публиковалась на WordPress.org. Она переписывала контент сайта, получая замещающие страницы с управляющего сервера и внедряя их непосредственно в БД.
На WordPress.org появилась чистая версия плагина 1.5.6. Однако 20 000 установок, уже работающих с модифицированной версией, не увидят этого обновления, поскольку их плагин продолжит опрашивать cdnstaticsync.com. Единственное спасение в таком случае – ручная переустановка плагина из официального каталога.
Представитель команды разработчиков Франсиско Торрес подтвердил сообщение Гиндера, отметив, что «по сути, все так и есть», высоко оценив работу последнего.
«Остин отлично справляется с расследованием этих проблем, сопоставляя события и формулируя заключения на их основе», — сказал Торрес. – «Мы искренне ценим его усилия и считаем, что он проделал фантастическую работу, которая оказывает положительное влияние на безопасность экосистемы».
Торрес добавил, что команда Plugins Team заинтересована в инструментарии, таком как WP Beacon.
«Судя по тому, что я видел, мы используем разные подходы к проектированию, но очевидно, что наши цели совпадают», — поделился он. – «Я считаю, что оба подхода могут дополнять друг друга, что позволит в конечном счете создать эффективный инструмент для автоматизированных проверок».
Бэкдор в модифицированной версии Scroll To Top давал злоумышленникам две возможности для нанесения потенциального вреда. В первом случае, что было активно с февраля 2024 года, посты WordPress и документы Elementor перезаписывались ежедневно путем получения данных со стороннего сервера, которые вносились напрямую в БД. Во втором случае, что, по словам Гиндера, пока еще не сработало, злоумышленники могли подцеплять к zip-архиву 1.5.5 любую вредоносную программу, в том числе веб-оболочку, которая будет автоматически устанавливаться на любой затронутый сайт при следующей проверке обновлений.
Владелец плагина по-прежнему имеет доступ к SVN-коммитам для трех других плагинов, которые он также приобрел у разработчика Satrya — Advanced Random Posts Widget, Smart Recent Posts Widget и Comments Widget Plus. В общем и целом они насчитывают свыше 40 000 установок. Однако ни один из этих плагинов в настоящее время не содержит бэкдоров.
Атака Scroll To Top повторяет схему, обнаруженную в Quick Page/Post Redirect, о которой Гиндер сообщил 14 апреля – механизм обновлений через сторонний канал, который более 5 лет ускользал от контроля WordPress.org.
Оба злоумышленника воспользовались недостаточным уровнем прозрачности WordPress.org в отношении сторонних серверов обновлений: код, регистрирующий канал обновления, проходил проверку, но вредоносный софт, распространяемый позже из инфраструктуры взломщика, обнаружить было невозможно.
Гиндер сказал, что создал WP Beacon, чтобы устранить это «слепое пятно». Инструмент, который будет публично доступен в скором времени, сканирует метаданные плагинов, историю коммитов, информацию об авторе и файлы релизов на наличие структурных паттернов, говорящих о компрометации цепочки поставок, включая переход права собственности, появление новых коммиттеров, перехваты чекеров обновлений, а также домены, зарегистрированные незадолго до релиза. Он добавил, что широко использовал Claude Code для создания правил обнаружения, сканера SVN и схемы БД.
Гиндер за последний месяц раскрыл бэкдоры в Quick Page/Post Redirect (14 апреля), в 31 плагине с Flippa (9 апреля), а также в Widget Logic (31 марта).
Ранее Торрес поделился сведениями о том, что команда Plugins Team изучает возможности усиления превентивных мер безопасности с помощью ИИ, хотя и отказался дать подробности.
Владельцы сайтов с активным Scroll To Top могут найти инструкции по установке чистого плагина в анонсе Гиндера.
Источник: https://www.therepository.email
