Plusieurs plugins WordPress ont été détournés pour injecter du code malveillant permettant de créer des comptes d’administrateur malveillants dans le but d’effectuer des actions arbitraires.
« Le malware injecté tente de créer un nouveau compte d’utilisateur administratif, puis renvoie ces informations au serveur contrôlé par l’attaquant », Chloe Chamberland, chercheuse en sécurité chez Wordfence. dit dans une alerte du lundi.
« En outre, il semble que l’acteur malveillant ait également injecté du JavaScript malveillant dans le pied de page des sites Web, ce qui semble ajouter du spam SEO sur l’ensemble du site Web. »
Les comptes administrateur portent les noms d’utilisateur « Options » et « PluginAuth », avec les informations du compte exfiltrées vers l’adresse IP 94.156.79.[.]8.
On ne sait pas actuellement comment les attaquants inconnus à l’origine de la campagne ont réussi à compromettre les plugins, mais les premiers signes de l’attaque de la chaîne d’approvisionnement logicielle remontent au 21 juin 2024.
Les plugins en question ne sont plus disponibles au téléchargement à partir du répertoire des plugins WordPress en attendant un examen en cours –
Il est conseillé aux utilisateurs des plugins susmentionnés d’inspecter leurs sites à la recherche de comptes d’administrateur suspects et de les supprimer, en plus de supprimer tout code malveillant.