Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

WordPress: rilevati 5 plugin che contengono malware sono in circolazione

Pietro Melillo : 25 Giugno 2024 14:13

Il 24 giugno 2024, Wordfence ha rivelato un attacco alla supply chain sui plugin di WordPress, che ha portato alla compromissione di cinque plugin con codice malevolo. I plugin interessati sono (con relative versioni):

  1. Social Warfare (versioni 4.4.6.4 a 4.4.7.1)
  2. Blaze Widget (versioni 2.2.5 a 2.5.2)
  3. Wrapper Link Element (versioni 1.0.2 a 1.0.3)
  4. Contact Form 7 Multi-Step Addon (versioni 1.0.4 a 1.0.5)
  5. Simply Show Hooks (versione 1.2.1)

Il codice malevolo mirava a creare un nuovo utente amministratore e a iniettare spam SEO nei footer dei siti. Le versioni compromesse non sono più elencate nel repository di WordPress.

Dettagli dell’Attacco

L’attacco è stato rilevato da Wordfence analizzando il plugin Social Warfare, dopo un post sul forum del team di revisione dei plugin di WordPress. Ulteriori indagini hanno rivelato che altri quattro plugin erano stati compromessi in modo simile. Il malware tentava di creare un account amministratore non autorizzato e inviare le credenziali a un server controllato dagli attaccanti. Inoltre, aggiungeva spam SEO tramite JavaScript malevolo.

Risposta e Raccomandazioni

FINO AL 31 DICEMBRE, sconti estremi sui corsi Red Hot Cyber

Affrettati!

Fino al 31 dicembre potrai acquistare a prezzi scontati i nostri corsi cliccando sui seguenti coupon:

  • NIS2 : Network and Information system 2 scontato del 25%
  • Dark Web & Cyber Threat Intelligence scontato del 50%

  • Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Wordfence ha consigliato agli utenti di:

    • Verificare gli Indicatori di Compromissione: Inclusi account amministrativi non autorizzati e connessioni all’indirizzo IP 94[.]156[.]79[.]8[.]
    • Rimuovere i Plugin Compromessi: Fino a quando non viene confermata una versione sicura, gli utenti dovrebbero rimuovere i plugin interessati.
    • Eseguire una Verifica Completa della Sicurezza: Utilizzando strumenti come lo scanner di vulnerabilità di Wordfence o il CLI.

    Per i passaggi dettagliati su come mettere in sicurezza i siti compromessi, Wordfence ha fornito una guida dettagliata sul loro sito web.

    Conclusione

    Questo attacco sottolinea l’importanza di una vigilanza costante e di una risposta tempestiva agli avvisi di sicurezza. Gli utenti sono incoraggiati a rimanere aggiornati sulla sicurezza dei plugin e ad adottare le migliori pratiche per la gestione dei siti WordPress per mitigare tali rischi.

    Per maggiori dettagli, visitare il sito con il post originale di Wordfence.

    Pietro Melillo
    Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"