24.931 benzersiz web sitesinde 47.337 kadar kötü amaçlı eklenti ortaya çıkarıldı ve bunların 3.685’i meşru pazarlarda satıldı ve saldırganlara 41.500 $ yasadışı gelir sağladı.
Bulgular, adı verilen yeni bir araçtan geliyor. YODA Georgia Institute of Technology’den bir grup araştırmacı tarafından yürütülen 8 yıllık bir araştırmaya göre, hileli WordPress eklentilerini tespit etmeyi ve kökenlerini takip etmeyi amaçlıyor.
Araştırmacılar, “Saldırganlar, iyi huylu eklenti yazarlarının kimliğine büründü ve korsan eklentileri dağıtarak kötü amaçlı yazılımları yaydı.” söz konusu ” başlıklı yeni bir makaledeGüvenmemeniz Gereken Eklentiler“
“Web sitelerindeki kötü amaçlı eklentilerin sayısı yıllar içinde istikrarlı bir şekilde arttı ve kötü amaçlı etkinlik Mart 2020’de zirveye ulaştı. Şaşırtıcı bir şekilde, bu 8 yılda yüklenen kötü amaçlı eklentilerin %94’ü bugün hala etkin.”
Büyük ölçekli araştırma, 2012 yılına kadar uzanan 410.122 benzersiz web sunucusunda kurulu WordPress eklentilerinin analiz edilmesini gerektirdi ve toplam maliyeti 834.000 ABD doları olan eklentilere dağıtım sonrasında tehdit aktörleri tarafından bulaştığını buldu.
YODA, doğrudan bir web sitesine ve bir web sunucusu barındırma sağlayıcısına entegre edilebilir veya bir eklenti pazarı tarafından dağıtılabilir. Çerçeve, gizli ve kötü amaçlı yazılımlarla donatılmış eklentileri tespit etmenin yanı sıra, bir eklentinin kaynağını ve sahipliğini belirlemek için de kullanılabilir.
Bunu, eklentileri algılamak için sunucu tarafı kod dosyalarının ve ilişkili meta verilerin (örn., yorumlar) analizini gerçekleştirerek, ardından kötü niyetli davranışı işaretlemek için sözdizimsel ve anlamsal bir analiz gerçekleştirerek başarır.
Semantik model, web kabuğu, yeni gönderiler ekleme işlevi, enjekte edilen kodun parola korumalı yürütülmesi, spam, kod gizleme, karartma SEO, kötü amaçlı yazılım indirici, kötü amaçlı reklamcılık ve kripto para madencileri dahil olmak üzere çok çeşitli kırmızı bayrakları hesaba katar.
Dikkate değer bulgulardan bazıları şunlardır:
- Yasal eklenti pazarlarında bulunan 3.452 eklenti, spam enjeksiyonunu kolaylaştırdı
- 18.034 web sitesinde dağıtım sonrası 40.533 eklentiye virüs bulaştı
- Nulled eklentiler – Sunuculara kötü amaçlı kod indirmek için kurcalanmış WordPress eklentileri veya temaları – toplam kötü amaçlı eklentilerin 8.525’ini oluşturuyor ve korsan eklentilerin kabaca %75’i geliştiricileri 228.000 ABD dolarından aldatıyor.
Araştırmacılar, “YODA’yı kullanarak web sitesi sahipleri ve barındırma sağlayıcıları web sunucusundaki kötü amaçlı eklentileri tanımlayabilir; eklenti geliştiricileri ve pazar yerleri eklentilerini dağıtımdan önce inceleyebilir” dedi.