¿Tus ventas online no van como lo esperabas?, Entonces te puedo ayudar

hatumseo Marketing digital

Aumentar las ventas, el tráfico, los ingresos y las conversiones

Complementos de WordPress comprometidos en el origen: ataque a la cadena de suministro

  • HatumSEO
  • Noticias
  • Complementos de WordPress comprometidos en el origen: ataque a la cadena de suministro

Los piratas informáticos apuntan a los complementos de WordPress en la fuente y los actualizan para infectar todos los sitios web que utilizan los complementos.

WordPress.org y Wordfence han publicado advertencias sobre piratas informáticos que añaden código malicioso a los complementos en el origen, lo que provoca infecciones generalizadas a través de actualizaciones, un ataque que se conoce como ataque a la cadena de suministro.

Actualización 28-06-2024: Más complementos están infectados

Se han identificado más complementos como comprometidos:

  1. Estadísticas de salud del servidor WP (wp-server-stats): 1.7.6
  2. Protector de clics no válidos para anuncios (AICP) (protector de clics no válidos): 1.2.9
  3. Complemento PowerPress Podcasting de Blubrry (powerpress): 11.9.3 – 11.9.4
  4. Imágenes optimizadas para SEO (seo-optimized-images): 2.1.2
  5. Pods: campos y tipos de contenido personalizados (pods): 3.2.2
  6. Imagen de Twenty20 antes y después (twenty20): 1.6.2, 1.6.3, 1.5.4

Leer más: Se intensifican los ataques a la cadena de suministro del complemento de WordPress

Complementos comprometidos: esto es lo que está pasando

Normalmente, lo que sucede es que un complemento contiene una debilidad (una vulnerabilidad) que permite a un atacante comprometer sitios individuales que usan esa versión de un complemento. Pero estos compromisos son diferentes porque los complementos en sí no contienen una vulnerabilidad. Los atacantes están inyectando código malicioso directamente en la fuente del complemento, forzando una actualización que luego se propaga a todos los sitios que usan el complemento.

Wordfence notó por primera vez un complemento que contenía código malicioso Cuando cargaron los detalles en su base de datos, descubrieron otros cuatro complementos que estaban comprometidos con un tipo similar de código malicioso. Wordfence notificó inmediatamente a WordPress sobre sus hallazgos.

Wordfence compartió detalles de los complementos afectados:

“Social Warfare 4.4.6.4 – 4.4.7.1
Patched Version: 4.4.7.3

Blaze Widget 2.2.5 – 2.5.2
Patched Version: None

Wrapper Link Element 1.0.2 – 1.0.3
Patched Version: It appears that someone removed the malicious code, however, the latest version is tagged as 1.0.0 which is lower than the infected versions. This means it may be difficult to update to the latest version, so we recommend removing the plugin until a properly tagged version is released.

Contact Form 7 Multi-Step Addon 1.0.4 – 1.0.5
Patched Version: None

Simply Show Hooks 1.2.1
Patched Version None”

“Guerra social 4.4.6.4 – 4.4.7.1

Widget de Blaze 2.2.5 – 2.5.2

Elemento de enlace contenedor 1.0.2 – 1.0.3 Esto significa que puede resultar difícil actualizar a la última versión, por lo que recomendamos eliminar el complemento hasta que se publique una versión etiquetada correctamente.

Formulario de contacto 7 Complemento de varios pasos 1.0.4 – 1.0.5

Simplemente muestra ganchos 1.2.1

WordPress cerró los cinco complementos directamente en el repositorio oficial de complementos y publicó una notificación en cada una de las páginas de complementos indicando que están cerrados y no disponibles.

Captura de pantalla de un complemento de WordPress eliminado de la lista

Los complementos infectados generan cuentas de administrador fraudulentas que llaman a un servidor Los sitios web atacados se modifican con enlaces de spam SEO que se agregan al pie de página. El malware sofisticado puede ser difícil de detectar porque los piratas informáticos intentan activamente ocultar su código de modo que, por ejemplo, el código parezca una cadena de números y el código malicioso se confunda. Wordfence señaló que este malware específico no era sofisticado y era fácil de identificar y rastrear.

Wordfence hizo una observación sobre esta curiosa cualidad del malware:

“The injected malicious code is not very sophisticated or heavily obfuscated and contains comments throughout making it easy to follow. The earliest injection appears to date back to June 21st, 2024, and the threat actor was still actively making updates to plugins as recently as 5 hours ago.”

“El código malicioso inyectado no es muy sofisticado ni está muy ofuscado y contiene comentarios que facilitan su seguimiento. La primera inyección parece remontarse al 21 de junio de 2024, y el actor de amenazas todavía estaba actualizando activamente los complementos hace tan solo 5 horas”.

Aviso de problemas de WordPress sobre complementos comprometidos

El aviso de WordPress establece que los atacantes están identificando desarrolladores de complementos que tienen «acceso de confirmación» (lo que significa que pueden enviar código al complemento) y luego, en el siguiente paso, utilizaron credenciales de otras violaciones de datos que coinciden con esos desarrolladores. Los piratas informáticos utilizan esas credenciales para acceder directamente al complemento a nivel de código e inyectar su código malicioso.

WordPress explicó:

“On June 23 and 24, 2024, five WordPress.org user accounts were compromised by an attacker trying username and password combinations that had been previously compromised in data breaches on other websites. The attacker used access to these 5 accounts to issue malicious updates to 5 plugins those users had committer access to.

…The affected plugins have had security updates issued by the Plugins Team to protect user security.”

“El 23 y 24 de junio de 2024, cinco cuentas de usuario de WordPress.org se vieron comprometidas por un atacante que intentó combinar nombres de usuario y contraseña que habían sido previamente comprometidos en violaciones de datos en otros sitios web. El atacante utilizó el acceso a estas 5 cuentas para emitir actualizaciones maliciosas a 5 complementos a los que esos usuarios tenían acceso de confirmación.

… Los complementos afectados han recibido actualizaciones de seguridad emitidas por el equipo de complementos para proteger la seguridad del usuario”.

La culpa de estos compromisos aparentemente reside en las prácticas de seguridad de los desarrolladores de complementos. El anuncio oficial de WordPress recordó a los desarrolladores de complementos las mejores prácticas a utilizar para evitar que se produzcan este tipo de compromisos.

¿Cómo saber si su sitio está comprometido?

En este momento, solo se sabe que cinco complementos están comprometidos con este código malicioso específico. Wordfence dijo que los piratas informáticos crean administradores con los nombres de usuario «Opciones» o «PluginAuth», por lo que una forma de verificar si un sitio está comprometido podría ser buscar nuevas cuentas de administrador, especialmente aquellas con esos nombres de usuario.

Wordfence recomendó que los sitios afectados que utilizan cualquiera de los cinco complementos eliminen cuentas de usuario de nivel de administrador fraudulentas y ejecuten un análisis de malware con el complemento de Wordfence y eliminen el código malicioso.

Alguien en los comentarios preguntó si deberían preocuparse incluso si no usan ninguno de los cinco complementos”.

“Do you think we need to be worried about other plug-in updates? Or was this limited to these 5 plug-ins.”

“¿Crees que debemos preocuparnos por otras actualizaciones de complementos?

Chloe Chamberland, líder de inteligencia de amenazas en Wordfence, respondió:

“Hi Elizabeth, at this point it appears to be isolated to just those 5 plugins so I wouldn’t worry too much about other plugin updates. However, out of extra caution, I would recommend reviewing the change-sets of any plugin updates prior to updating them on any sites you run to make sure no malicious code is present.”

«Hola Elizabeth, en este punto parece estar aislado solo de esos 5 complementos, por lo que no me preocuparía demasiado por las actualizaciones de otros complementos. Sin embargo, por precaución adicional, recomendaría revisar los conjuntos de cambios de cualquier actualización de complementos antes de actualizarlos en cualquier sitio que ejecute para asegurarse de que no haya ningún código malicioso presente”.

Otros dos comentaristas notaron que tenían al menos una de las cuentas de administrador fraudulentas en sitios que no usaban ninguno de los cinco complementos afectados conocidos. En este momento no se sabe si otros complementos se ven afectados.

Lea el último desarrollo en el ataque a la cadena de suministro de WordPress:

Se intensifican los ataques a la cadena de suministro de complementos de WordPress

Lea el aviso y la explicación de Wordfence sobre lo que está sucediendo:

Un ataque a la cadena de suministro a los complementos de WordPress.org conduce a cinco complementos de WordPress comprometidos maliciosamente Supply Chain Attack on WordPress.org Plugins Leads to 5 Maliciously Compromised WordPress Plugins

Lea el anuncio oficial de WordPress.org:

Mantener seguras sus cuentas de confirmador de complementos Keeping Your Plugin Committer Accounts Secure

Imagen destacada de Shutterstock/Algonga

Leer el articulo original en Search Engine Journal.

¡Danos un Voto!

Pregúntanos cómo

AUMENTAR VENTAS, TRÁFICO, INGRESOS Y CONVERSIONES

en tu Tienda Online | HatumSEO Ecommerce

De acuerdo, ayúdame

Hemos ayudado a múltiples Tiendas Online con nuevas cotas de éxito en Internet. Nuestros clientes han cosechado las recompensas utilizando nuestros años de experiencia, nuestras herramientas de alta calidad y nuestra pasión por perfeccionar el arte del ecommerce.

hatumseo Marketing digital

Conecta con nosotros

Facebook Youtube

Ubicación

¿Tienes una pregunta?

Luis Narciso
Sobre SEO
(Posicionamiento Web)

Frank Fajardo
Sobre Diseño Web, Anuncios, Diseño y Redes Sociales