Birçok WordPress eklentisine, keyfi eylemler gerçekleştirmek amacıyla sahte yönetici hesapları oluşturmayı mümkün kılan kötü amaçlı kod enjekte etmek için arka kapı açıldı.
Wordfence güvenlik araştırmacısı Chloe Chamberland, “Enjekte edilen kötü amaçlı yazılım, yeni bir yönetici kullanıcı hesabı oluşturmaya çalışıyor ve ardından bu ayrıntıları saldırganın kontrolündeki sunucuya geri gönderiyor.” söz konusu Pazartesi uyarısında.
“Ayrıca, tehdit aktörünün, web sitesi genelinde SEO spam’i eklediği görülen web sitelerinin altbilgisine kötü amaçlı JavaScript de enjekte ettiği görülüyor.”
Yönetici hesapları “Options” ve “PluginAuth” kullanıcı adlarına sahiptir ve hesap bilgileri 94.156.79 IP adresine sızdırılmıştır.[.]8.
Kampanyanın arkasındaki bilinmeyen saldırganların eklentileri nasıl ele geçirmeyi başardıkları henüz bilinmiyor ancak yazılım tedarik zinciri saldırısının ilk belirtileri 21 Haziran 2024’e kadar uzanıyor.
Söz konusu eklentiler, devam eden inceleme süresince WordPress eklenti dizininden indirilemiyor –
Yukarıda belirtilen eklentileri kullananlara, sitelerinde şüpheli yönetici hesapları olup olmadığını kontrol etmeleri ve bunları silmeleri, ayrıca kötü amaçlı kodları kaldırmaları tavsiye edilmektedir.