به گزارش کارگروه حملات سایبری سایبربان؛ یک حمله زنجیره تامین بزرگ، موجب در معرض خطر قرار گرفتن و آلوده شدن 93 تم و پلاگین ورد پرس به در پشتی شد. بازیگران مخرب می توانند با کاشت این در پشتی، دسترسی کامل وبسایت ها را به دست بگیرند.
بازیگران مخرب در مجموع 40 تم و 53 پلاگین متعلق به توسعه دهنده افزونه های ورد پرس یعنی AccessPress (اکسس پرس) را در معرض خطر قرار داده اند. افزونه های اکسس پرس در بیش از 360 هزار وبسایت فعال مورد استفاده قرار دارند.
این حمله توسط محققین جت پَک، سازندگان ابزار بهینه سازی و امنیت برای سایت های وردپرس شناسایی شده بود. آن ها متوجه شدند یک در پشتی PHP به پلاگین ها و تم ها افزوده شده است.
جت پک بر این باور است که بازیگران مخرب با هدف در خطر انداختن این نرم افزار و آلوده سازی سایت های وردپرس، وبسایت اکسس پرس را مورد نفوذ قرار دادند.
به محض آن که ادمین ها محصول در معرض خطر اکسس پوینت را بر روی سایت خود نصب کردند، بازیگران مخرب یک فایل “initial.php” جدید را به دایرکتوری اصلی تم اضافه کرد و آن را در فایل اصلی “functions.php” قرار داد.
این فایل شامل یک پی لود رمزنگاری شده بیس 64 بود که یک وب شل را در فایل “./wp-includes/vars.php” می نویسد.
این کد مخرب، نصب در پشتی را از طریق رمزگشایی پی لود و تزریق آن به فایل “vars.php” تکمیل و مجوز کنترل از راه دور بر روی سایت آلوده را برای بازیگران مخرب صادر می کند.
طبق گفته محققین Sucuri (ساکوری) بازیگران مخرب به منظور هدایت بازدیدکنندگان به سایت های کلاهبرداری و رها کننده بدافزار از در پشتی استفاده می کنند.
این احتمال نیز وجود دارد که مجرمین با استفاده از این بدافزار، دسترسی آن را به وبسایت های در پشتی دار موجود در وب تاریک بفروشند.
جت پک اولین بار در سپتامبر 2021 این در پشتی را شناسایی کرد. چیزی نگذشت که محققین متوجه شدند بازیگران مخرب، تمامی پلاگین ها و تم های رایگان متعلق به این ارائه دهنده را در معرض خطر قرار داده بودند.
اکسس پرس روز 17 ژانویه 2022 نسخه غیر آلوده و جدیدی را برای تمامی پلاگین های تحت الشعاع قرار گرفته منتشر کرد.
