Les plugins WordPress compromis à la source

WordPress.org et Wordfence ont publié des avertissements concernant les pirates informatiques qui ajoutent du code malveillant aux plugins à la source, entraînant des infections généralisées via des mises à jour.

Cinq plugins compromis… à ce jour

En règle générale, un plugin contient une faiblesse (une vulnérabilité) qui permet à un attaquant de compromettre des sites individuels qui utilisent cette version d’un plugin.

Mais ces compromis sont différents car les plugins eux-mêmes ne contiennent pas de vulnérabilité. Les attaquants injectent directement du code malveillant directement à la source du plugin, forçant une mise à jour qui se propage ensuite à tous les sites utilisant le plugin. Wordfence a d’abord remarqué un plugin contenant du code malveillant.

Lorsqu’ils ont téléchargé les détails dans leur base de données, ils ont découvert quatre autres plugins compromis par un type de code malveillant similaire. Wordfence a immédiatement informé WordPress de ses découvertes. Wordfence a partagé les détails des plugins concernés : « Social Warfare 4.

4.6.4 – 4.

4.7.1 Version corrigée : 4.

4.7.3 Blaze Widget 2.

2.5 – 2.5.

2 Version corrigée : Aucun élément de lien Wrapper 1.0.2 – 1.

0.3 Version corrigée : il semble que quelqu’un ait supprimé le code malveillant. Cependant, la dernière version est étiquetée comme 1.

0.0, ce qui est inférieur aux versions infectées. Cela signifie qu’il peut être difficile de mettre à jour vers la dernière version, nous vous recommandons donc de supprimer le plugin jusqu’à ce qu’une version correctement balisée soit publiée.

Module complémentaire en plusieurs étapes du formulaire de contact 7 1.0.4 – 1.

0.5 Version corrigée : Aucun affiche simplement les crochets 1.2.

1 Version corrigée Aucune » WordPress a fermé les cinq plugins directement dans le référentiel officiel des plugins et a publié une notification sur chacune des pages du plugin indiquant qu’ils sont fermés et indisponibles.

Capture d’écran d’un plugin WordPress supprimé de la liste

Les plugins infectés génèrent des comptes d’administrateur malveillants qui téléphonent à un serveur. Les sites Web attaqués sont modifiés avec des liens de spam SEO ajoutés au pied de page.

Les logiciels malveillants sophistiqués peuvent être difficiles à détecter car les pirates tentent activement de cacher leur code de sorte que, par exemple, le code ressemble à une chaîne de chiffres et que le code malveillant soit obscurci. Wordfence a noté que ce malware spécifique n’était pas sophistiqué et était facile à identifier et à suivre. Wordfence a fait une observation sur cette curieuse qualité du malware : « Le code malveillant injecté n’est pas très sophistiqué ni très obscurci et contient des commentaires partout, ce qui le rend facile à suivre.

La première injection semble remonter au 21 juin 2024, et l’acteur malveillant effectuait encore activement des mises à jour des plugins il y a à peine 5 heures.

WordPress publie un avis sur les plugins compromis

L’avis WordPress indique que les attaquants identifient les développeurs de plugins qui disposent d’un « accès committer » (ce qui signifie qu’ils peuvent valider du code dans le plugin), puis, à l’étape suivante, ils ont utilisé les informations d’identification d’autres violations de données correspondant à ces développeurs. Les pirates utilisent ces informations d’identification pour accéder directement au plugin au niveau du code et injecter leur code malveillant.

WordPress a expliqué : « Les 23 et 24 juin 2024, cinq comptes d’utilisateurs WordPress.org ont été compromis par un attaquant essayant des combinaisons de nom d’utilisateur et de mot de passe qui avaient été précédemment compromises lors de violations de données sur d’autres sites Web. L’attaquant a utilisé l’accès à ces 5 comptes pour publier des mises à jour malveillantes sur 5 plugins auxquels les utilisateurs avaient accès en tant que committer.

… Les plugins concernés ont fait l’objet de mises à jour de sécurité publiées par l’équipe Plugins pour protéger la sécurité des utilisateurs. La faute de ces compromissions incombe apparemment aux pratiques de sécurité des développeurs de plugins. L’annonce officielle de WordPress a rappelé aux développeurs de plugins les meilleures pratiques à utiliser afin d’éviter que ce type de compromis ne se produise.

Comment savoir si votre site est compromis ?

À l’heure actuelle, seuls cinq plugins sont connus pour être compromis par ce code malveillant spécifique. Wordfence a déclaré que les pirates créent des administrateurs avec les noms d’utilisateur « Options » ou « PluginAuth ». Une façon de vérifier si un site est compromis pourrait donc être de rechercher de nouveaux comptes d’administrateur, en particulier ceux avec ces noms d’utilisateur.

Wordfence a recommandé aux sites concernés qui utilisent l’un des cinq plugins de supprimer les comptes d’utilisateurs malveillants de niveau administrateur, d’exécuter une analyse des logiciels malveillants avec le plugin Wordfence et de supprimer le code malveillant. Quelqu’un dans les commentaires a demandé s’il devait s’inquiéter même s’il n’utilisait aucun des cinq plugins. » « Pensez-vous que nous devons nous inquiéter des autres mises à jour de plug-ins ? Ou était-ce limité à ces 5 plug-ins.

Chloé Chamberland, responsable des renseignements sur les menaces chez Wordfence, a répondu : « Bonjour Elizabeth, à ce stade, il semble être isolé de ces 5 plugins, donc je ne m’inquiéterais pas trop des autres mises à jour de plugins. Cependant, par prudence supplémentaire, je recommanderais de revoir les ensembles de modifications de toutes les mises à jour de plugins avant de les mettre à jour sur les sites que vous exécutez pour vous assurer qu’aucun code malveillant n’est présent. Deux autres commentateurs ont noté qu’ils possédaient au moins un des comptes d’administrateur malveillants sur des sites qui n’utilisaient aucun des cinq plugins concernés connus.

Pour le moment, on ne sait pas si d’autres plugins sont concernés. Lisez l’avis de Wordfence et l’explication de ce qui se passe : Une attaque de la chaîne d’approvisionnement contre les plugins WordPress.org mène à 5 plugins WordPress malveillantement compromis

Lisez l’annonce officielle de WordPress.

org :

Garder vos comptes de committers de plugins sécurisés Image sélectionnée par Shutterstock/Algonga