6,000 个网站上的假 WordPress 插件提示用户安装恶意软件 ...

黑客使用盗取的凭据感染 WordPress 网站，并向其发送虚假插件，通过虚假的浏览器更新提示向终极用户发送恶意软件和信息盗取步伐。
该恶意活动基于ClickFix假浏览器更新恶意软件的新变种，自 2024 年 6 月以来已使用假 WordPress 插件感染了超过 6,000 个网站。
总体而言，据 GoDaddy 安全团队称，自 2023 年 8 月以来，ClickFix 已感染了超过 25,000 个网站。
假冒 WordPress 插件盗取用户凭据
没有已知的毛病被利用来传递虚假插件；黑客好像只是使用了被盗的凭据。
GoDaddy公告称： “日志分析显示，安装假冒 WordPress 插件并未直接利用 WordPress 生态体系中任何已知毛病。相反，攻击者拥有每个受感染网站的合法 WordPress 管理员凭据。”
这些插件“旨在对网站管理员无害”，但网站访问者可能会看到虚假的浏览器更新和其他恶意提示。
这些插件会注入恶意 JavaScript，此中包含“一种已知的伪造浏览器更新恶意软件变种，该恶意软件使用区块链和智能合约来获取恶意负载”，即 EtherHiding。
在浏览器中实行时，JavaScript 会发送伪造的浏览器更新关照，引导用户在其盘算机上安装恶意软件，通常是远程访问木马 (RAT) 或Vidar Stealer 和 Lumma Stealer 等信息盗取步伐。
假冒 WordPress 插件：具体信息和 IoC
这些假插件使用通用名称，比方“高级用户管理器”或“快速缓存清理器”，其目次仅包含 3 个小文件：index.php、.DS_Store和-script.js文件，其变体通常基于插件名称。

伪造的 WordPress 插件文件
这些定名方案导致了其他恶意插件的发现：

插件名称.	注入脚本
管理栏定制器	管理栏定制器/abc-script.js
高级用户管理器	高级用户管理器/aum-script.js
高级小部件管理	高级小部件管理/awm-script.js
内容拦截器	内容拦截器/cb-script.js
自定义 CSS 注入器	自定义 CSS 注入器/cci-script.js
自定义页脚生成器	自定义页脚生成器/cfg-script.js
自定义登录样式器	自定义登录样式器/cls-script.js
动态侧边栏管理器	动态侧边栏管理器/dsm-script.js
浅易主题管理器	浅易主题管理器/script.js
表单生成器专业版	form-b​​uilder-pro/fbp-script.js
快速缓存清理器	快速缓存清理器/qcc-script.js
响应式菜单生成器	响应式菜单生成器/rmb-script.js
SEO优化专家	seo-optimizer-pro/sop-script.js
简单的帖子增强器	简单后增强器/spe-script.js
社交媒体集成商	社交媒体集成器/smi-script.js

公告称：“底层插件代码故意保持简单，以制止引发危险信号。” wp_enqueue_scripts操纵的钩子  被操纵，将插件目次中的有害脚本加载到 WordPress 页面中。
.DS_Store 是桌面服务存储 (Desktop Services Store) 的缩写，是macOS Finder 应用步伐创建的用于存储文件夹首选项的隐蔽文件。
伪造的插件 .DS_Store 文件不包含任何信息，但可以用作入侵指标 (IoC)：
MD5：  194577a7e20bdcc7afbb718f502c134c
SHA 256：d65165279105ca6773180500688df4bdc69a2c7b771752f0a46ef120b7fd8ec3
脚本文件名包含相同的内容，可以通过其哈希值识别：
MD5：  602e1f42d73cadcd73338ffbc553d5a2
SHA 256：  a4ad384663963d335a27fa088178a17613a7b597f2db8152ea3d809c8b9781a0
关于 WordPress 凭据被盗的推测
GoDaddy 的发起指出，有用的 WordPress 管理员凭据的存在表明黑客使用了获取凭据的方法，比方暴力攻击、网络钓鱼活动，甚至是网站管理员盘算机上的恶意软件或信息盗取步伐感染。
该公告并未提及，但据推测多因素身份验证以及其他访问控制（如设备 ID、健康和位置）将提供一些保护，防止被盗凭据被滥用。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。