Serangan Rantai Pasokan: Lebih dari 90 Tema dan Plugin WordPress Dikompromikan

Internet Sehat : Serangan rantai pasokan besar-besaran mengkompromikan 93 tema dan plugin WordPress untuk memuat pintu belakang sehingga memberikan akses penuh kepada pelaku ancaman ke situs web. Secara total, pelaku ancaman mengkompromikan 40 tema dan 53 plugin milik AccessPress, pengembang add-on WordPress yang digunakan di lebih dari 360.000 situs aktif.

Serangan itu ditemukan oleh para peneliti di Jetpack, pencipta alat keamanan dan pengoptimalan untuk situs WordPress yang menemukan bahwa pintu belakang PHP telah ditambahkan ke tema dan plugin. Jetpack yakin aktor ancaman eksternal telah melanggar situs AccessPress untuk menyusupi perangkat lunak dan menginfeksi situs WordPress lebih lanjut.

Segera setelah admin menginstal produk AccessPress yang dikompromikan di situs mereka, aktor menambahkan file “initial.php” baru ke dalam direktori tema utama dan memasukkannya ke dalam file “functions.php” utama. File ini berisi payload yang disandikan base64 yang menulis webshell ke dalam file “./wp-includes/vars.php”.

Kode berbahaya menyelesaikan instalasi pintu belakang dengan mendekode muatan dan memasukkannya ke dalam file “vars.php”, yang pada dasarnya memberikan kendali jarak jauh kepada pelaku ancaman atas situs yang terinfeksi. Satu-satunya cara untuk mendeteksi ancaman ini adalah dengan menggunakan solusi pemantauan integritas file inti, karena malware menghapus penetes file “initial.php” untuk menutupi jejaknya.

Menurut peneliti Sucuri yang menyelidiki kasus ini untuk mengetahui tujuan para pelaku, pelaku ancaman menggunakan pintu belakang untuk mengarahkan pengunjung ke situs malware-dropping dan scam. Karena itu, kampanyenya tidak terlalu canggih.

Mungkin juga aktor tersebut menggunakan malware ini untuk menjual akses ke situs web pintu belakang di web gelap, yang akan menjadi cara efektif untuk memonetisasi infeksi berskala besar tersebut.

Jetpack pertama kali mendeteksi pintu belakang pada September 2021, dan segera setelah itu, para peneliti menemukan bahwa pelaku ancaman telah menyusupi semua plugin dan tema gratis milik vendor. Jetpack percaya bahwa add-on AccessPress berbayar kemungkinan besar telah disusupi tetapi, tidak mengujinya, jadi ini tidak dapat dikonfirmasi.

Sumber : Bleeping Computer