Securityonderzoekers hebben ontdekt dat legitieme WordPress add-ons gebruikt zijn voor het uitvoeren van een supply chain-aanval. Via backdoors konden hackers de complete controle over WP-websites overnemen.

Uit onderzoek van Jetpack blijkt dat de plugins en thema’s van AccessPress Themes over een backdoor beschikken die hackers controle kunnen geven over websites. Het gaat om minimaal 93 geïnfecteerde oplossingen (40 AccessPress-thema’s en 53 plugins).

Thema’s en plugins met backdoors

Volgens de securityonderzoekers blijkt uit timestamps dat de backdoors in de verschillende thema’s en plugins met een gecoördineerde actie zijn geïntroduceerd vlak nadat deze thema’s en plugins waren uitgebracht. De besmette thema’s en plugins konden direct van de website van AccessPress worden gedownload. Dezelfde thema’s en plugins die via WordPress.org konden worden gedownload, bleken schoon te zijn. De aanval werd in september vorig jaar uitgevoerd.

De besmette thema’s en plugins bevatten een script, initial.php, dat aan de standaard directory en het standaard functions.php-bestand werd toegevoegd. Het script initial.php fungeert als een dropper. Deze dropper gebruikt base64-code voor het camoufleren van code die een payload van wp-theme-connect.com downloadt, om de backdoor te installeren. Eenmaal geïnstalleerd, vernietigde de dropper zichzelf om de aanval te verhullen.

De hackers gebruikten de backdoor om toegang tot de gecompromitteerde websites te verkopen. Op deze manier konden deze sites worden gebruikt voor het verspreiden van spam en redirects naar andere malware en scam-websites.

Overzicht getroffen tools

Jetpack heeft een compleet overzicht gepubliceerd van de getroffen thema’s en plugins van AccessPress Themes. De experts raden aan systemen die de software draaien grondig op backdoors te inspecteren. Ook geven zij een overzicht van schone versies en hoe gebruikers het probleem aan moeten pakken.

Tip: Zijn browserextensies nog wel veilig te gebruiken?