Тысячи сайтов под угрозой: скрытые бэкдоры нашли в плагинах WordPress
В WordPress обнаружили бэкдоры в десятках популярных плагинов
RusPhotoBank
В экосистеме WordPress зафиксирована серьезная угроза безопасности: десятки плагинов, используемых на тысячах сайтов, оказались заражены скрытыми бэкдорами. После выявления проблемы доступ к этим расширениям был оперативно ограничен.
Речь идет о популярных дополнениях, которые применяются для расширения функциональности сайтов. Их компрометация автоматически делала уязвимыми все ресурсы, где они были установлены.
Как возникла атака
Поводом для расследования стала смена владельца одного из разработчиков плагинов — компании Essential Plugin. Специалисты установили, что после сделки в исходный код расширений был внедрён скрытый механизм удалённого доступа.
По оценкам экспертов, вредоносный код появился вскоре после перехода прав собственности, однако длительное время не проявлял активности. Такая стратегия позволила злоумышленникам сохранить доверие пользователей и избежать быстрого обнаружения.
Когда бэкдор начал действовать
Активная стадия атаки началась в начале апреля. В этот период встроенный бэкдор был активирован и начал распространять вредоносный код на сайты, где использовались заражённые плагины.
Специалисты отмечают, что инцидент соответствует классической атаке на цепочку поставок, при которой злоумышленники используют доверенные компоненты вместо прямого взлома ресурсов.
Последствия для сайтов
После активации вредоносного механизма сайты автоматически подвергались изменениям. Это могло привести к полной компрометации — от внедрения стороннего кода до получения контроля над системой.
Особенность подобных атак заключается в их масштабности и сложности обнаружения, поскольку они затрагивают большое количество проектов одновременно.
Реакция и меры
После выявления угрозы уязвимые плагины были удалены из доступа, чтобы остановить распространение вредоносного кода.
Эксперты портала CSN-TV считают, что данный случай демонстрирует уязвимость экосистемы сторонних расширений, поскольку даже легитимные инструменты могут использоваться как канал атаки при смене контроля над разработчиком.