{"id":1568428,"date":"2025-03-06T20:03:49","date_gmt":"2025-03-06T22:03:49","guid":{"rendered":"https:\/\/teknomers.com\/fr\/plus-de-1-000-sites-wordpress-infectes-par-des-bornes-javascript-permettant-un-acces-a-lattaquant-persistant\/"},"modified":"2025-03-06T20:03:54","modified_gmt":"2025-03-06T22:03:54","slug":"plus-de-1-000-sites-wordpress-infectes-par-des-bornes-javascript-permettant-un-acces-a-lattaquant-persistant","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/plus-de-1-000-sites-wordpress-infectes-par-des-bornes-javascript-permettant-un-acces-a-lattaquant-persistant\/","title":{"rendered":"Plus de 1 000 sites WordPress infect\u00e9s par des bornes JavaScript permettant un acc\u00e8s \u00e0 l&#8217;attaquant persistant"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">06 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Violation de donn\u00e9es \/ s\u00e9curit\u00e9 du site Web<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Plus-de-1-000-sites-WordPress-infectes-par-des-bornes.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Plus de 1 000 sites Web aliment\u00e9s par WordPress ont \u00e9t\u00e9 infect\u00e9s par un code JavaScript tiers qui injecte quatre d\u00e9ambulations distinctes.<\/p>\n<p>&#8220;La cr\u00e9ation de quatre d\u00e9ambulations facilite que les attaquants ayant plusieurs points de rentr\u00e9e devraient \u00eatre d\u00e9tect\u00e9s et supprim\u00e9s&#8221;, chercheur \u00e0 la c\u00f4te Himanshu Anand <a rel=\"noopener nofollow\" href=\"https:\/\/cside.dev\/blog\/thousands-of-websites-hit-by-four-backdoors-in-3rd-party-javascript-attack\" target=\"_blank\">dit<\/a> dans une analyse mercredi.<\/p>\n<p>Le code JavaScript malveillant s&#8217;est av\u00e9r\u00e9 \u00eatre servi via cdn.csyndication[.]com. Au cours de l&#8217;\u00e9criture, autant que <a rel=\"noopener nofollow\" href=\"https:\/\/publicwww.com\/websites\/csyndication.com\/\" target=\"_blank\">908 sites Web<\/a> contiennent des r\u00e9f\u00e9rences au domaine en question.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les fonctions des quatre d\u00e9ambulations sont expliqu\u00e9es ci-dessous &#8211;<\/p>\n<ul>\n<li>Backdoor 1, qui t\u00e9l\u00e9charge et installe un faux plugin nomm\u00e9 &#8220;Processeur Ultra SEO&#8221;, qui est ensuite utilis\u00e9 pour ex\u00e9cuter les commandes \u00e9mises \u00e0 l&#8217;attaquant<\/li>\n<li>Backdoor 2, qui injecte un JavaScript malveillant dans WP-Config.php<\/li>\n<li>Backdoor 3, qui ajoute une cl\u00e9 SSH contr\u00f4l\u00e9e par l&#8217;attaquant au fichier ~ \/ .ssh \/ autoris\u00e9_keys afin de permettre un acc\u00e8s \u00e0 distance persistant \u00e0 la machine<\/li>\n<li>Backdoor 4, qui est con\u00e7u pour ex\u00e9cuter les commandes distantes et r\u00e9cup\u00e9rer une autre charge utile de Gsocket[.]IO pour ouvrir probablement une coquille invers\u00e9e<\/li>\n<\/ul>\n<p>Pour att\u00e9nuer le risque pos\u00e9 par les attaques, il est inform\u00e9 que les utilisateurs suppriment les cl\u00e9s SSH non autoris\u00e9es, tournent les informations d&#8217;administration WordPress et surveillent les journaux syst\u00e8me pour une activit\u00e9 suspecte.<\/p>\n<p>Le d\u00e9veloppement intervient alors que la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/cside.dev\/blog\/over-35-000-websites-targeted-in-full-page-hijack-linking-to-a-chinese-language-gambling-scam\" target=\"_blank\">d\u00e9taill\u00e9<\/a> Une autre campagne de logiciels malveillants a compromis plus de 35 000 sites Web avec un JavaScript malveillant qui &#8220;d\u00e9tourne enti\u00e8rement la fen\u00eatre du navigateur de l&#8217;utilisateur&#8221; pour rediriger les visiteurs du site vers des plates-formes de jeu chinois.<\/p>\n<p>&#8220;L&#8217;attaque semble cibler ou provenir des r\u00e9gions o\u00f9 le mandarin est courant, et les pages de destination finales pr\u00e9sentent du contenu de jeu sous la marque\u00ab Kaiyun \u00bb.<\/p>\n<p>Les redirections se produisent via JavaScript h\u00e9berg\u00e9 sur cinq domaines diff\u00e9rents, qui sert de chargeur pour la charge utile principale responsable de l&#8217;ex\u00e9cution des redirections &#8211; <\/p>\n<ul>\n<li>mlbetjs[.]com<\/li>\n<li>ptfafajs[.]com<\/li>\n<li>zuizhongjs[.]com <\/li>\n<li>jbwzzzjs[.]com<\/li>\n<li>jpbkte[.]com <\/li>\n<\/ul>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les r\u00e9sultats suivent \u00e9galement un nouveau rapport du groupe-IB sur un acteur de menace doubl\u00e9 <b>Hurler <\/b>Cela injecte un Bablosoft JS nomm\u00e9 JavaScript sur des sites Web Magento compromis pour collecter les empreintes digitales des utilisateurs en visite. Plus de 115 sites de commerce \u00e9lectronique seraient touch\u00e9s \u00e0 ce jour.<\/p>\n<p>Le script inject\u00e9 fait partie de la suite Bablosoft BrowserAutomationStudio (BAS), &#8220;The Singapourien Company <a rel=\"noopener nofollow\" href=\"https:\/\/www.group-ib.com\/blog\/fingerprint-heists\/\" target=\"_blank\">dit<\/a>l&#8217;ajout &#8220;Contient plusieurs autres fonctions pour collecter des informations sur le syst\u00e8me et le navigateur d&#8217;utilisateurs visitant le site Web compromis.&#8221;<\/p>\n<p>Il est dit que les attaquants exploitent des vuln\u00e9rabilit\u00e9s connues affectant les versions vuln\u00e9rables Magento (par exemple, CVE-2024-34102 aka Cosmicsting et CVE-2024-20720) pour violer les sites Web. L&#8217;acteur de menace motiv\u00e9 financi\u00e8rement a \u00e9t\u00e9 d\u00e9couvert pour la premi\u00e8re fois \u00e0 la nature fin mai 2024.<\/p>\n<p>&#8220;Les empreintes digitales du navigateur sont une technique puissante couramment utilis\u00e9e par les sites Web pour suivre les activit\u00e9s des utilisateurs et adapter les strat\u00e9gies de marketing&#8221;, a d\u00e9clar\u00e9 Group-IB. &#8220;Cependant, ces informations sont \u00e9galement exploit\u00e9es par les cybercriminels pour imiter le comportement l\u00e9gitime des utilisateurs, \u00e9chapper aux mesures de s\u00e9curit\u00e9 et mener des activit\u00e9s frauduleuses.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/over-1000-wordpress-sites-infected-with.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80206 mars 2025\ue804Ravie LakshmananViolation de donn\u00e9es \/ s\u00e9curit\u00e9 du site Web Plus de 1 000 sites Web aliment\u00e9s par WordPress ont \u00e9t\u00e9 infect\u00e9s par un code JavaScript tiers qui injecte quatre d\u00e9ambulations distinctes. &#8220;La cr\u00e9ation de quatre d\u00e9ambulations facilite que les attaquants ayant plusieurs points de rentr\u00e9e devraient \u00eatre d\u00e9tect\u00e9s et supprim\u00e9s&#8221;, chercheur \u00e0 la [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1568429,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[15283,274266,274265,12196,4168,79002,274264,4161,274263,6124,133,8739,7305,4156,274267,4160,164,106717,21977,238617,246491,4172,2783,79016,4166,4164,51600],"class_list":["post-1568428","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-acces","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-bornes","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-des","tag-infectes","tag-javascript","tag-lattaquant","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-par","tag-permettant","tag-persistant","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-sites","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1568428","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1568428"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1568428\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1568429"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1568428"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1568428"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1568428"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}