Dezenas de plug-ins para o amplamente utilizado software de blog de código aberto WordPress agora estão offline depois que um backdoor foi descoberto neles, usado para enviar código malicioso a qualquer site que dependesse dos plug-ins. O backdoor foi descoberto depois que um novo proprietário corporativo comprou esses plug-ins.
O fundador da Anchor Hosting, Austin Ginder, soou o alarme em uma postagem no blog na semana passada descrevendo um ataque à cadeia de suprimentos contra um fabricante de plugins WordPress chamado Essential Plugin. Ginder disse que alguém comprou o Essential Plugin no ano passado e o backdoor logo foi adicionado ao código-fonte dos plugins. O backdoor ficou inativo até o início deste mês, quando foi ativado e começou a distribuir código malicioso para qualquer site com os plug-ins instalados.
Essential Plugin afirma em seu site que possui mais de 400.000 plugins instalados e mais de 15.000 clientes. A página de instalação do plugin do WordPress diz que os plugins afetados estão em mais de 20.000 instalações ativas do WordPress.
Os plug-ins permitem que os proprietários de sites baseados em WordPress ampliem a funcionalidade do site, mas, ao fazer isso, concedem aos plug-ins acesso às suas instalações, o que pode abrir esses sites a extensões maliciosas e possíveis comprometimentos. Mas Ginder alertou que os usuários do WordPress não são notificados sobre qualquer mudança de propriedade dos plug-ins, expondo os usuários a possíveis ataques de aquisição por parte de seus novos proprietários.
De acordo com Ginder, este é o segundo sequestro de um plugin do WordPress descoberto em poucas semanas. Os investigadores de segurança há muito que alertam para os riscos de agentes maliciosos comprarem software e alterarem o seu código, a fim de comprometer um grande número de computadores em todo o mundo.
Embora os plug-ins tenham sido removidos do diretório do WordPress e agora listem seu fechamento como “permanente”, Ginder alertou que os proprietários do WordPress devem verificar se ainda têm um dos plug-ins maliciosos instalados e removê-lo. Ginder tem uma lista dos plugins afetados na postagem do blog.
Os representantes do Essential Plugin não responderam a um pedido de comentário.
