Dezenas de extensões para o software de blogs WordPress foram retiradas do ar após a descoberta de uma backdoor maliciosa inserida em seu código-fonte. A vulnerabilidade, que afeta milhares de sites, foi ativada no início deste mês e começou a distribuir código malicioso para qualquer instalação que utilizasse os plug-ins comprometidos.
A descoberta foi feita por Austin Ginder, fundador da Anchor Hosting, que detalhou o ataque em um post de blog na semana passada. Segundo ele, o incidente é um ataque à cadeia de suprimentos direcionado à Essential Plugin, uma desenvolvedora de extensões para WordPress.
Aquisição maliciosa e ativação da backdoor
De acordo com o relato de Ginder, a Essential Plugin foi comprada por alguém no ano passado. Após a aquisição, uma backdoor foi inserida no código-fonte dos plug-ins. O código malicioso permaneceu inativo até ser ativado no início deste mês, quando passou a distribuir malware para os sites afetados.
A Essential Plugin afirma em seu site ter mais de 400.000 instalações de plug-ins e mais de 15.000 clientes. A página de instalação de plug-ins do WordPress indica que os itens afetados estavam em mais de 20.000 instalações ativas da plataforma.
Risco silencioso para usuários
Plug-ins permitem que proprietários de sites baseados em WordPress estendam a funcionalidade de suas páginas, mas, ao fazê-lo, concedem acesso às suas instalações. Ginder alertou que os usuários do WordPress não são notificados sobre mudanças na propriedade de um plug-in, o que os expõe a possíveis ataques de tomada de controle por novos donos.
Este é o segundo sequestro de um plug-in do WordPress descoberto em duas semanas, conforme relatado por Ginder. Pesquisadores de segurança há muito alertam sobre os riscos de atores maliciosos comprarem softwares e alterarem seu código para comprometer um grande número de computadores em todo o mundo.
Remoção e recomendações de segurança
Os plug-ins afetados já foram removidos do diretório oficial do WordPress e listam seu fechamento como "permanente". No entanto, Ginder alerta que os proprietários de sites devem verificar se ainda têm algum dos plug-ins maliciosos instalados e removê-los imediatamente. Uma lista completa dos plug-ins comprometidos está disponível em seu post no blog.
Representantes da Essential Plugin não responderam a um pedido de comentário da imprensa sobre o caso.