Et angrep mot programvareforsyningskjeden har satt tusenvis av WordPress-nettsteder i fare etter at angripere kompromitterte oppdateringssystemet til pluginutvikleren ShapedPlugin. Hendelsen gjorde det mulig for skadelig kode å nå betalende kunder gjennom legitime programvareoppdateringer og forvandlet en rutinemessig pluginoppdatering til en kanal for spredning av skadevare. Sikkerhetsforskere advarer om at berørte nettstedseiere kan ha installert bakdører uten å være klar over det, noe som gir angripere langvarig tilgang til systemene deres.

Angripere rettet seg mot premiumoppdateringer

Angrepet rammet tre premiumprodukter fra ShapedPlugin som ble distribuert gjennom selskapets offisielle oppdateringsinfrastruktur. Forskere oppdaget at angriperne hadde lagt inn skadelig kode i versjoner av Product Slider Pro, Real Testimonials Pro og Smart Post Show Pro. De kompromitterte oppdateringene ble levert direkte til kunder som lastet dem ned gjennom vanlige distribusjonskanaler.

Ifølge etterforskere dukket den skadelige koden opp i leverandørens Pro-pluginversjoner i løpet av mai. I juni begynte kunder å rapportere mistenkelig aktivitet, noe som førte til nærmere analyser fra sikkerhetsforskere. ShapedPlugin bekreftet senere hendelsen og startet arbeidet med å utbedre problemet.

Skadevaren installerte skjulte bakdører

De skadelige oppdateringene gjorde langt mer enn å infisere nettsteder. Forskere oppdaget at skadevaren installerte en falsk WooCommerce-relatert plugin som var utviklet for å opprettholde vedvarende tilgang til de kompromitterte systemene. Den skadelige koden kunne stjele administratoropplysninger, samle inn sensitiv informasjon og gi angripere mulighet til å skrive filer eksternt.

Etterforskere identifiserte også funksjoner som hjalp angriperne med å omgå ytterligere sikkerhetskontroller. Skadevaren opprettet skjulte tilgangsmekanismer som gjorde det mulig for operatørene å gjenvinne kontrollen over systemene selv etter at sikkerhetsverktøy oppdaget infeksjonen. Enkelte komponenter fjernet også spor etter det opprinnelige angrepet, noe som gjorde etterforskningen mer krevende.

Angrep mot forsyningskjeden fortsetter å øke

Hendelsen viser hvor alvorlig trusselen fra angrep mot programvareforsyningskjeden har blitt. I stedet for å angripe enkeltstående nettsteder direkte kompromitterer cyberkriminelle betrodde programvareleverandører og distribuerer skadevare gjennom legitime oppdateringskanaler. Nettstedseiere følger ofte anbefalte sikkerhetsrutiner ved å holde programvaren oppdatert, men denne typen angrep utnytter nettopp den tilliten.

WordPress er fortsatt et attraktivt mål på grunn av det omfattende økosystemet av utvidelser. Sikkerhetsforskere har lenge advart om at sårbarheter i plugins og kompromitterte oppdateringsmekanismer gir angripere en effektiv måte å nå et stort antall nettsteder samtidig.

Konklusjon

ShapedPlugin-angrepet viser hvor alvorlige konsekvensene av en kompromittert programvareforsyningskjede kan være. Angriperne brukte en betrodd oppdateringsprosess til å distribuere skadevare direkte til kunder, noe som gjorde det mulig å spre infeksjoner uten å utnytte sårbarheter på de enkelte nettstedene. Nettstedseiere som bruker de berørte pluginene, bør forsikre seg om at de kjører rene versjoner, gjennomgå systemene sine for tegn på kompromittering og bytte legitimasjon dersom det finnes mistanke om uautorisert tilgang.


0 responses to “ShapedPlugin-angrep infiserer WordPress-nettsteder gjennom pluginoppdateringer”