Pas moins de 47 337 plugins malveillants ont été découverts sur 24 931 sites Web uniques, dont 3 685 plugins ont été vendus sur des marchés légitimes, rapportant aux attaquants 41 500 $ de revenus illégaux.
Les résultats proviennent d’un nouvel outil appelé YODA qui vise à détecter les plugins WordPress voyous et à retrouver leur origine, selon une étude de 8 ans menée par un groupe de chercheurs du Georgia Institute of Technology.
« Les attaquants se sont fait passer pour des auteurs de plugins bénins et ont propagé des logiciels malveillants en distribuant des plugins piratés », ont déclaré les chercheurs. a dit dans un nouvel article intitulé « Méfiez-vous des plugins que vous devez. »
« Le nombre de plugins malveillants sur les sites Web n’a cessé d’augmenter au fil des ans, et l’activité malveillante a culminé en mars 2020. Étonnamment, 94 % des plugins malveillants installés au cours de ces 8 années sont toujours actifs aujourd’hui. »
La recherche à grande échelle a consisté à analyser les plugins WordPress installés sur 410 122 serveurs Web uniques remontant à 2012, constatant que les plugins qui coûtent au total 834 000 $ ont été infectés après le déploiement par des acteurs de la menace.
YODA peut être intégré directement dans un site Web et un fournisseur d’hébergement de serveur Web, ou déployé par un marché de plug-ins. En plus de détecter les modules complémentaires cachés et truqués par des logiciels malveillants, le framework peut également être utilisé pour identifier la provenance d’un plugin et sa propriété.
Pour ce faire, il effectue une analyse des fichiers de code côté serveur et des métadonnées associées (par exemple, des commentaires) pour détecter les plug-ins, puis effectue une analyse syntaxique et sémantique pour signaler les comportements malveillants.
Le modèle sémantique représente un large éventail de drapeaux rouges, y compris le shell Web, la fonction d’insertion de nouveaux messages, l’exécution protégée par mot de passe du code injecté, le spam, l’obfuscation de code, le blocage du référencement, le téléchargement de logiciels malveillants, la malvertisation et les mineurs de crypto-monnaie.
Certaines des conclusions remarquables sont les suivantes –
- 3 452 plugins disponibles sur les marchés de plugins légitimes ont facilité l’injection de spam
- 40 533 plugins ont été infectés après le déploiement sur 18 034 sites Web
- Les plugins nuls – plugins ou thèmes WordPress qui ont été falsifiés pour télécharger du code malveillant sur les serveurs – représentaient 8 525 du total des add-ons malveillants, avec environ 75% des plugins piratés trompant les développeurs sur 228 000 $ de revenus
« En utilisant YODA, les propriétaires de sites Web et les hébergeurs peuvent identifier les plugins malveillants sur le serveur Web ; les développeurs de plugins et les marchés peuvent vérifier leurs plugins avant leur distribution », ont souligné les chercheurs.