Хакерите използват директорията mu-plugins (Must-Use Plugins) на WordPress, за да стартират зловреден код на всяка страница, като избягват откриването му.
Техниката е забелязана за първи път от Sucuri през февруари 2025 г. Оттогава насам тя става все по-популярна. Към днешна дата хакерите я използват за стартирането на три различни вида зловреден код:
- redirect.php: Пренасочва посетителите (с изключение на ботове и влезли в системата администратори) към злонамерен уебсайт – updatesnow.net. Той показва фалшив призив за актуализация на браузъра, за да ги подмами да изтеглят зловреден софтуер;
- index.php: Webshell, който действа като задна врата, като извлича и изпълнява PHP код от хранилище на GitHub;
- custom-js-loader.php: Зарежда JavaScript, който заменя всички изображения в сайта и превзема всички изходящи връзки, като вместо тях отваря съмнителни изскачащи прозорци.
Случаят с Webshell е особено опасен. Той позволява на нападателите да изпълняват отдалечено команди на сървъра, да крадат данни и да извършват атаки надолу по веригата към членовете/посетителите.
Другите два полезни товара също могат да бъдат вредни. Те накърняват репутацията на сайта и SEO резултатите му заради съмнителни пренасочвания и опит за инсталиране на зловреден софтуер.
Mu-plugin е специален вид плъгин за WordPress, които се изпълняват автоматично при всяко зареждане на страницата, без да е необходимо да бъде активиран в административното табло. Той имат легитимни случаи на употреба, като например налагане на функционалност за целия сайт за персонализирани правила за сигурност, настройки на производителността и динамично модифициране на код.
Този тип плъгини обаче могат да се използват за широк спектър от злонамерени дейности – кражба на идентификационни данни, инжектиране на злонамерен код или промяна на HTML изхода.
Препоръчваме на администраторите на WordPress сайтове да:
- прилагат актуализации на сигурността на своите плъгини и теми;
- деактивират или деинсталират тези, които не са необходими;
- да защитават привилегированите акаунти със силни пълномощия и MFA.
-
-
-
-
-
