En attack mot mjukvaruleveranskedjan har utsatt tusentals WordPress-webbplatser för risk efter att angripare komprometterat uppdateringssystemet som används av pluginutvecklaren ShapedPlugin. Händelsen gjorde det möjligt för skadlig kod att nå betalande kunder genom legitima programuppdateringar och förvandlade en vanlig pluginuppdatering till en kanal för spridning av malware. Säkerhetsforskare varnar för att berörda webbplatsägare kan ha installerat bakdörrar utan att veta om det, vilket ger angripare långvarig åtkomst till deras system.
Angripare riktade in sig på premiumuppdateringar
Attacken drabbade tre premiumprodukter från ShapedPlugin som distribuerades via företagets officiella uppdateringsinfrastruktur. Forskare upptäckte att angriparna hade infogat skadlig kod i versioner av Product Slider Pro, Real Testimonials Pro och Smart Post Show Pro. De komprometterade uppdateringarna levererades direkt till kunder som laddade ned dem via normala distributionskanaler.
Enligt utredare dök den skadliga koden upp i leverantörens Pro-pluginversioner under maj månad. Under juni började kunder rapportera misstänkta aktiviteter, vilket fick säkerhetsforskare att analysera händelsen närmare. ShapedPlugin bekräftade senare incidenten och inledde arbetet med att åtgärda problemet.
Malware installerade dolda bakdörrar
De skadliga uppdateringarna gjorde betydligt mer än att infektera webbplatser. Forskare upptäckte att malware installerade ett falskt WooCommerce-relaterat plugin som var utformat för att behålla åtkomsten till de komprometterade systemen. Skadlig kod kunde stjäla administratörsuppgifter, samla in känslig information och ge angripare möjlighet att skriva filer på distans.
Utredare identifierade även funktioner som hjälpte angriparna att kringgå ytterligare säkerhetskontroller. Malware skapade dolda åtkomstvägar som gjorde det möjligt för operatörerna att återfå kontroll över systemen även efter att säkerhetsverktyg upptäckt infektionen. Vissa komponenter tog dessutom bort spår av den ursprungliga attacken, vilket försvårade det efterföljande utredningsarbetet.
Attacker mot leveranskedjan fortsätter att öka
Incidenten visar hur stort hot attacker mot mjukvaruleveranskedjan har blivit. I stället för att angripa enskilda webbplatser direkt komprometterar cyberkriminella betrodda mjukvaruleverantörer och sprider skadlig kod genom legitima uppdateringskanaler. Webbplatsägare följer ofta rekommenderade säkerhetsrutiner genom att hålla sin programvara uppdaterad, men den här typen av attacker utnyttjar just det förtroendet.
WordPress fortsätter att vara ett attraktivt mål tack vare sitt omfattande ekosystem av tillägg. Säkerhetsforskare har länge varnat för att sårbarheter i plugins och komprometterade uppdateringssystem ger angripare ett effektivt sätt att nå ett stort antal webbplatser samtidigt.
Slutsats
ShapedPlugin-attacken visar hur allvarliga konsekvenser en komprometterad mjukvaruleveranskedja kan få. Angriparna använde en betrodd uppdateringsprocess för att distribuera malware direkt till kunder, vilket gjorde det möjligt att sprida infektioner utan att utnyttja sårbarheter på enskilda webbplatser. Webbplatsägare som använder de berörda tilläggen bör säkerställa att de kör rena versioner, granska sina system efter tecken på intrång och byta inloggningsuppgifter om det finns misstankar om obehörig åtkomst.


0 svar till ”ShapedPlugin-attack infekterar WordPress-webbplatser via pluginuppdateringar”