В плагине Display Widgets для WordPress найден бэкдор

Как стало известно, плагин Display Widgets использовался для внедрения бэкдора на сайты на базе WordPress. Вредоносный код обнаружен в нескольких версиях, выпущенных с июня по сентябрь. Команда WordPress уже удалила вредоносные версии плагина из официального репозитория. Однако до этого его успели установить более 200 тыс. пользователей. 

Плагин Display Widgets дает возможность легко и наглядно управлять отображением виджетов на тех или иных страницах или разделах. Оригинальная версия была создана разработчиком Стефани Уэллс, которая впоследствии продала открытую версию плагина другому разработчику.

Согласно исследованию, проведенному экспертом по безопасности Дэвидом Лоу, а также компаниями White Fir Design и Wordfence, в июне этого года новый владелец плагина выпустил версию Display Widgets 2.6.0. Она отслеживала трафик на web-сайтах и передавала информацию на сторонний сервер. В итоге WordPress.org от плагина избавилась.

Через несколько дней разработчик сумел восстановить плагин и опубликовал в репозитории новую версию Display Widgets 2.6.1 с бэкдором, позволявшим подключаться к удаленным сайтам и создавать новые страницы или публикации. Помимо этого, как и в прежней версии, плагин отслеживал трафик. Спустя сутки с момента публикации в репозитории он снова был удален.

В следующем месяце разработчик опубликовал версию 2.6.2, которая никакого вредоносного поведения, якобы, не показала. Через некоторое время администрация WordPress.org стала получать жалобы от пользователей, обвиняющих плагин в создании необнаруживаемых страниц с сомнительными ссылками. После тщательной проверки исследователи выяснили, что версия Display Widgets 2.6.2 создавала новые страницы со ссылками на другие ресурсы. Эти страницы и публикации не отображались на административной панели. Более того, плагин скрывал “секретные” страницы от администраторов сайта (их могли увидеть только неавторизованные пользователи). После подробного отчета исследователей администрация WordPress.org удалила плагин в третий раз.

На этом история не закончилась. 2 сентября создатель Display Widgets опубликовал новую версию плагина – 2.6.3, которая также оказалась вредоносной. 8 сентября команда WordPress удалила злосчастный плагин, и в этот раз, вероятно, навсегда.

Эксперты компании Wordfence поставили перед собой задачу идентифицировать разработчиков плагина. Как выяснилось, новым владельцем Display Widgets оказалась компания WP Devs. Согласно сообщению на сайте компании, WP Devs занимается покупкой устаревших и более не поддерживаемых плагинов. В настоящее время компания владеет 34 плагинами. По данным расследования, у WP Devs два владельца – житель США и житель России.

Источник: securitylab.ru

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*