Se han creado puertas traseras en varios complementos de WordPress para inyectar código malicioso que permite crear cuentas de administrador fraudulentas con el objetivo de realizar acciones arbitrarias.
“El malware inyectado intenta crear una nueva cuenta de usuario administrativo y luego envía esos detalles al servidor controlado por el atacante”, dijo la investigadora de seguridad de Wordfence, Chloe Chamberland. dicho en una alerta de lunes.
“Además, parece que el actor de amenazas también inyectó JavaScript malicioso en el pie de página de los sitios web, lo que parece agregar spam de SEO en todo el sitio web”.
Las cuentas de administrador tienen los nombres de usuario “Opciones” y “PluginAuth”, y la información de la cuenta se extrae a la dirección IP 94.156.79.[.]8.
Actualmente no se sabe cómo los atacantes desconocidos detrás de la campaña lograron comprometer los complementos, pero los primeros signos del ataque a la cadena de suministro de software se remontan al 21 de junio de 2024.
Los complementos en cuestión ya no están disponibles para descargar desde el directorio de complementos de WordPress en espera de una revisión continua.
Se recomienda a los usuarios de los complementos antes mencionados que inspeccionen sus sitios en busca de cuentas de administrador sospechosas y las eliminen, además de eliminar cualquier código malicioso.