Los investigadores del Instituto de Tecnología de Georgia han identificado complementos maliciosos en decenas de miles de sitios net de WordPress.
Un análisis de las copias de seguridad nocturnas de más de 400 000 servidores net individuales ha revelado la existencia de más de 47 000 complementos maliciosos instalados en casi 25 000 sitios net individuales de WordPress. Más del 94% de estos complementos (más de 44,000) todavía están en uso hoy en día.
Más de 3600 de los complementos maliciosos identificados se compraron en mercados legítimos como CodeCanyon, Straightforward Digital Downloads y ThemeForest. La mayoría de estos complementos no usaron ofuscación para ocultar su comportamiento malicioso, dicen los investigadores en un artículo de investigación.
El conjunto de datos utilizado para la investigación abarcó un período de ocho años, entre julio de 2012 y julio de 2020, y mostró un aumento constante en la cantidad de complementos maliciosos instalados, con un pico de actividad en marzo de 2020.
Según los investigadores, los atacantes compran el código base de complementos gratuitos populares y luego agregan código malicioso y esperan a que los usuarios apliquen actualizaciones automáticas. También se ha observado a los atacantes haciéndose pasar por autores de complementos benignos para propagar malware a través de complementos falsos.
«Si bien los propietarios de sitios net confiaron en el ecosistema de complementos y gastaron un complete de $ 7.3 millones solo por los complementos en nuestro conjunto de datos, descubrimos que la confianza a menudo se rompe por las ganancias financieras de los atacantes», dicen los investigadores.
Para su análisis, los investigadores crearon un marco automatizado de detección y seguimiento de complementos maliciosos llamado YODA, que se implementó en el conjunto de datos de 400,000 servidores net propiedad de clientes del proveedor de respaldo de sitios net CodeGuard.
De los complementos maliciosos identificados, más de 10 000 usaron shells net y ofuscación de código. Los investigadores también identificaron casos de infecciones de complemento a complemento, donde un complemento malicioso infecta otros complementos en el mismo servidor net y duplicate su comportamiento.
En complete, se infectaron más de 40 000 instancias de complementos después de la implementación. En muchos casos, los atacantes abusaron de la infraestructura para inyectar complementos maliciosos en los sitios net y luego intentaron mantener el acceso a los servidores net.
Algunos de los comportamientos de los complementos maliciosos identificados fueron populares a fines de 2012, mientras que otros se introdujeron más recientemente. Sin embargo, independientemente de la edad, los comportamientos prevalecen en los complementos maliciosos de hoy.
Los investigadores también descubrieron más de 6000 complementos que se hacen pasar por complementos benignos disponibles a través de mercados legítimos, lo que ofrece a los propietarios de sitios net una opción de prueba, que normalmente no está disponible en la mayoría de los mercados de complementos pagos.
Los resultados del análisis se informaron a CodeGuard y se está trabajando para resolver la situación. Sin embargo, los científicos dicen que solo el 10% de los propietarios de sitios net intentaron limpiar sus instalaciones y más del 12% de los sitios net limpios se reinfectaron.
Ver también: Vulnerabilidad sin parches en el complemento WPBakery WordPress cada vez más bajo ataque
Relacionado: Vulnerabilidad explotada en el complemento de WordPress parcheado con más de 1 millón de instalaciones
Relacionado: Ataque a gran escala en el complemento de WordPress Tatsu Builder
Ionut Arhire es corresponsal internacional de SecurityWeek. Columnas anteriores de Ionut Arhire:
etiquetas:
