WordPress.org y Wordfence han publicado advertencias sobre piratas informáticos que añaden código malicioso a los complementos en el origen, lo que provoca infecciones generalizadas a través de actualizaciones.

Cinco complementos comprometidos… hasta la fecha

Normalmente, lo que sucede es que un complemento contiene una debilidad (una vulnerabilidad) que permite a un atacante comprometer sitios individuales que usan esa versión de un complemento. Pero estos compromisos son diferentes porque los complementos en sí no contienen una vulnerabilidad. Los atacantes están inyectando código malicioso directamente en la fuente del complemento, forzando una actualización que luego se propaga a todos los sitios que usan el complemento.

Wordfence notó por primera vez un complemento que contenía código malicioso. Cuando cargaron los detalles en su base de datos, descubrieron otros cuatro complementos que estaban comprometidos con un tipo similar de código malicioso. Wordfence notificó inmediatamente a WordPress sobre sus hallazgos.

Wordfence compartió detalles de los complementos afectados:

“Guerra social 4.4.6.4 – 4.4.7.1
Versión parcheada: 4.4.7.3

Widget de Blaze 2.2.5 – 2.5.2
Versión parcheada: ninguna

Elemento de enlace contenedor 1.0.2 – 1.0.3
Versión parcheada: Parece que alguien eliminó el código malicioso; sin embargo, la última versión está etiquetada como 1.0.0, que es inferior a las versiones infectadas. Esto significa que puede resultar difícil actualizar a la última versión, por lo que recomendamos eliminar el complemento hasta que se publique una versión etiquetada correctamente.

Formulario de contacto 7 Complemento de varios pasos 1.0.4 – 1.0.5
Versión parcheada: ninguna

Simplemente muestra ganchos 1.2.1
Versión parcheada Ninguna”

WordPress cerró los cinco complementos directamente en el repositorio oficial de complementos y publicó una notificación en cada una de las páginas de complementos indicando que están cerrados y no disponibles.

Captura de pantalla de un complemento de WordPress eliminado de la lista

Los complementos infectados generan cuentas de administrador fraudulentas que llaman a un servidor. Los sitios web atacados se modifican con enlaces de spam SEO que se agregan al pie de página. El malware sofisticado puede ser difícil de detectar porque los piratas informáticos intentan activamente ocultar su código de modo que, por ejemplo, el código parezca una cadena de números y el código malicioso se confunda. Wordfence señaló que este malware específico no era sofisticado y era fácil de identificar y rastrear.

Wordfence hizo una observación sobre esta curiosa cualidad del malware:

“El código malicioso inyectado no es muy sofisticado ni está muy ofuscado y contiene comentarios que lo hacen fácil de seguir. La primera inyección parece remontarse al 21 de junio de 2024, y el actor de amenazas todavía estaba actualizando activamente los complementos hace tan solo 5 horas”.

Aviso de problemas de WordPress sobre complementos comprometidos

El aviso de WordPress afirma que los atacantes están identificando desarrolladores de complementos que tienen “acceso de confirmación” (lo que significa que pueden enviar código al complemento) y luego, en el siguiente paso, utilizaron credenciales de otras violaciones de datos que coinciden con esos desarrolladores. Los piratas informáticos utilizan esas credenciales para acceder directamente al complemento a nivel de código e inyectar su código malicioso.

WordPress explicó:

“El 23 y 24 de junio de 2024, cinco cuentas de usuario de WordPress.org se vieron comprometidas por un atacante que intentó combinar nombres de usuario y contraseña que habían sido previamente comprometidos en violaciones de datos en otros sitios web. El atacante utilizó el acceso a estas 5 cuentas para emitir actualizaciones maliciosas a 5 complementos a los que los usuarios tenían acceso de confirmación.

… Los complementos afectados han recibido actualizaciones de seguridad emitidas por el equipo de complementos para proteger la seguridad del usuario”.

La culpa de estos compromisos aparentemente reside en las prácticas de seguridad de los desarrolladores de complementos. El anuncio oficial de WordPress recordó a los desarrolladores de complementos las mejores prácticas a utilizar para evitar que se produzcan este tipo de compromisos.

¿Cómo saber si su sitio está comprometido?

En este momento sólo se sabe que cinco complementos están comprometidos con este código malicioso específico. Wordfence dijo que los piratas informáticos crean administradores con los nombres de usuario “Opciones” o “PluginAuth”, por lo que una forma de verificar si un sitio está comprometido podría ser buscar nuevas cuentas de administrador, especialmente aquellas con esos nombres de usuario.

Wordfence recomendó que los sitios afectados que utilizan cualquiera de los cinco complementos eliminen cuentas de usuario de nivel de administrador fraudulentas y ejecuten un análisis de malware con el complemento de Wordfence y eliminen el código malicioso.

Alguien en los comentarios preguntó si deberían preocuparse incluso si no usan ninguno de los cinco complementos”.

“¿Crees que debemos preocuparnos por otras actualizaciones de complementos? ¿O se limitó a estos 5 complementos?

Chloe Chamberland, líder de inteligencia de amenazas en Wordfence, respondió:

“Hola Elizabeth, en este punto parece estar aislado solo de esos 5 complementos, por lo que no me preocuparía demasiado por las actualizaciones de otros complementos. Sin embargo, por precaución adicional, recomendaría revisar los conjuntos de cambios de cualquier actualización de complementos antes de actualizarlos en cualquier sitio que ejecute para asegurarse de que no haya ningún código malicioso presente”.

Otros dos comentaristas notaron que tenían al menos una de las cuentas de administrador fraudulentas en sitios que no usaban ninguno de los cinco complementos afectados conocidos. En este momento no se sabe si otros complementos se ven afectados.

Lea el aviso y la explicación de Wordfence sobre lo que está sucediendo:

Un ataque a la cadena de suministro a los complementos de WordPress.org conduce a cinco complementos de WordPress comprometidos maliciosamente

Lea el anuncio oficial de WordPress.org:

Mantener seguras sus cuentas de confirmador de complementos

Imagen destacada de Shutterstock/Algonga