Los complementos de WordPress que se ejecutan en hasta 36.000 sitios web han recibido una puerta trasera en un ataque a la cadena de suministro con orígenes desconocidos, dijeron el lunes investigadores de seguridad. Hasta ahora, se sabe que cinco complementos se han visto afectados en la campaña, que estuvo activa el lunes por la mañana, informaron investigadores de la firma de seguridad Wordfence. Durante la semana pasada, actores de amenazas desconocidos agregaron funciones maliciosas a las actualizaciones disponibles para los complementos en WordPress.org, el sitio oficial del software CMS de código abierto WordPress. Cuando se instalan, las actualizaciones crean automáticamente una cuenta administrativa controlada por el atacante que proporciona control total sobre el sitio comprometido. Las actualizaciones también agregan contenido diseñado para mejorar los resultados de búsqueda. Envenenando el pozo «El código malicioso inyectado no es muy sofisticado ni está muy ofuscado y contiene comentarios que lo hacen fácil de seguir», escribieron los investigadores. «La primera inyección parece remontarse al 21 de junio de 2024, y el actor de amenazas todavía estaba actualizando activamente los complementos hace tan solo 5 horas». Los cinco complementos son: Durante la última década, los ataques a la cadena de suministro se han convertido en uno de los vectores más eficaces para instalar malware. Al envenenar el software desde su origen, los actores de amenazas pueden infectar una gran cantidad de dispositivos cuando los usuarios no hacen más que ejecutar una actualización o un archivo de instalación confiable. A principios de este año, el desastre se evitó por poco después de que se descubriera, en gran parte por suerte, una puerta trasera colocada en la biblioteca de códigos XZ Utils de código abierto ampliamente utilizada, una semana o dos antes de su lanzamiento general programado. Abundan los ejemplos de otros ataques recientes a la cadena de suministro. Los investigadores están en el proceso de investigar más a fondo el malware y cómo estuvo disponible para descargar en el canal de complementos de WordPress. Los representantes de WordPress, BLAZE y Social Warfare no respondieron a las preguntas enviadas por correo electrónico. No se pudo contactar a los representantes de los desarrolladores de los tres complementos restantes porque no proporcionaron información de contacto en sus sitios. Los investigadores de Wordfence dijeron que el primer indicio que encontraron del ataque fue el sábado en esta publicación de un miembro del equipo de revisión de complementos de WordPress. Los investigadores analizaron el archivo malicioso e identificaron otros cuatro complementos que estaban infectados con un código similar. Los investigadores escribieron además: En esta etapa, sabemos que el malware inyectado intenta crear una nueva cuenta de usuario administrativo y luego envía esos detalles al servidor controlado por el atacante. Además, parece que el actor de amenazas también inyectó JavaScript malicioso en el pie de página de los sitios web, lo que parece agregar spam de SEO en todo el sitio web. El código malicioso inyectado no es muy sofisticado ni está muy ofuscado y contiene comentarios que lo hacen fácil de seguir. La primera inyección parece remontarse al 21 de junio de 2024, y el actor de amenazas todavía estaba actualizando activamente los complementos hace tan solo 5 horas. En este momento no sabemos exactamente cómo el actor de la amenaza pudo infectar estos complementos. Cualquiera que haya instalado uno de estos complementos debe desinstalarlo inmediatamente e inspeccionar cuidadosamente su sitio en busca de cuentas de administrador creadas recientemente y contenido malicioso o no autorizado. Los sitios que utilizan Wordfence Vulnerability Scanner recibirán una advertencia si están ejecutando uno de los complementos. La publicación de Wordfence también recomendó a las personas que revisen sus sitios en busca de conexiones desde la dirección IP 94.156.79.8 y cuentas de administrador con los nombres de usuario Options o PluginAuth.