В популярном плагине Captcha для WordPress обнаружен бэкдор

Популярный плагин Captcha для WordPress, установленный на более чем 300 тыс. сайтах, был модифицирован для загрузки и установки бэкдора, выяснили эксперты компании WordFence. Изначально плагин был разработан компанией BestWebSoft, но в начале сентября нынешнего года она продала бесплатную версию Captcha другому разработчику - Simply WordPress. Спустя три месяца после продажи новый владелец выпустил версию Captcha 4.3.7, содержавшую вредоносный код, подключавшийся к домену simplywordpress.net и загружавший обновление из стороннего источника (что является нарушением правил WordPress). Данное обновление устанавливало бэкдор на сайты, использующие плагин.

Как пояснил исследователь WordFence Мэтт Барри (Matt Barry), бэкдор создавал сессию, используя идентификатор ID 1 (учетная запись администратора, которая по умолчанию создается в процессе установки WordPress), настраивал cookie для аутентификации и самоликвидировался. Кроме того, бэкдор содержал код, устанавливающий «чистое» обновление, на случай, если атакующий решит замести все следы.

Любопытно, что вредоносная версия Captcha была выявлена совершенно случайно. Причиной проверки плагина стала претензия команды WordPress по поводу нарушения авторских прав. Два дня назад команда удалила плагин из официального каталога WordPress в связи с тем, что его автор использовал торговую марку WordPress в названии своего ПО. Удаление плагина привлекло внимание экспертов WordFence и побудило их провести собственное исследование, в ходе которого и был обнаружен бэкдор.

Специалисты сообщили команде WordPress о своей находке, и та выпустила версию Captcha 4.4.5, которую начала принудительно устанавливать на затронутые сайты. За минувшие выходные «чистая» версия плагина была установлена на более чем 100 тыс. ресурсов.

Однако на этом история не закончилась. Решив тщательнее проверить деятельность Simply WordPress, эксперты обнаружили на домене simplywordpress.net вредоносные обновления для ряда других плагинов, в том числе Covert me Popup, Death To Comments, Human Captcha, Smart Recaptcha, Social Exchange (ни один из них не представлен в ассортименте официального репозитория WordPress). Кроме того, WordFence удалось выйти на след злоумышленника. По данным Барри, компания Simply WordPress связана с Мэйсоном Сойза (Mason Soiza), ранее заподозренном в разработке вредоносных версий плагинов Display Widgets (более 200 тыс. загрузок) и 404 to 301 (70 тыс. установок). По данным специалистов, Сойза скупает плагины для WordPress и внедряет в них бэкдоры, которые использует для перенаправления пользователей на спам-сайты, включая ресурс принадлежащей ему компании Payday Loans. Таким образом Сойза повышает позиции своих сайтов в поисковой выдаче, считают исследователи.

Источник