فاجعه در وردپرس: اطلاعات ۴۰۰ هزار سایت وردپرسی به سرقت رفت

به گزارش کارگروه امنیت سایبربان ؛ یک حمله سایبری گسترده به حدود 390,000 وب‌سایت وردپرس رخ داده است که در آن اطلاعات حساس از جمله نام‌کاربری و رمز عبور دزدیده شده و در برخی موارد، سیستم‌ها به استخراج ارز دیجیتال مونرو (Monero) پرداخته‌اند.

این حمله که تقریبا یک سال به طول انجامید، با استفاده از یک بسته مخرب که در مخزن NPM (یا Node Package Manager) آپلود شده بود، صورت گرفت. ابتدا این بسته به‌نظر بی‌خطر بود، اما در آپدیت‌های بعدی، کدهای مخرب به آن اضافه شدند. این کدها به‌طور دوره‌ای (هر 12 ساعت) اطلاعات حساس مانند کلیدهای SSH و تاریخچه دستورات Bash را سرقت کرده و آن‌ها را از طریق سرویس‌هایی مانند Dropbox و File.io به سرقت‌برده‌شده منتقل می‌کردند.

سرقت اطلاعات صدها هزار سایت وردپرسی

طبق گزارش محققان، این حمله ابتدا به‌عنوان یک بسته XML-RPC ظاهرا مشروع منتشر شد، اما در آپدیت‌های بعدی، هدف خود را به سرقت اطلاعات ورود به وب‌سایت‌های وردپرس و نصب نرم‌افزارهای استخراج ارز دیجیتال معطوف کرد. این بسته که به‌طور مخفیانه به دستگاه‌های قربانیان منتقل می‌شد، باعث شد که ده‌ها سیستم برای استخراج مونرو مورد استفاده قرار گیرند.

محققان از آزمایشگاه امنیتی Datadog و تیم Checkmarx که این حمله را شناسایی کردند، به‌طور خاص به هشدار داده‌اند که چنین حملاتی می‌توانند به‌عنوان حملات زنجیره تأمین (supply chain attack) عمل کنند. این حملات از طریق استفاده از نرم‌افزارهای متن‌باز، توسعه‌دهندگان و محققان امنیتی را هدف قرار می‌دهند، چرا که آن‌ها ممکن است بدون آگاهی، کدهای آلوده را در پروژه‌های خود وارد کنند.

این حمله، که از سوی گروهی به نام MUT-1224 شناخته شده است، نشان‌دهنده تهدیدات روزافزون در کدهای متن‌باز و نیاز به احتیاط بیشتر در استفاده از این ابزارها است. محققان هشدار داده‌اند که توسعه‌دهندگان باید در استفاده از این بسته‌های نرم‌افزاری به دقت توجه داشته باشند تا از انتشار حملات مشابه جلوگیری شود.