Как оказалось, после смены владельца бесплатный WordPress-плагин Captcha, насчитывающий более 300 тыс. установок, вышел в забэкдоренной версии. Когда это обнаружилось, команда WordPress.org выпустила новый, чистый вариант Captcha и принудительно раздала его на сайты через механизм автообновления CMS-системы.

По словам исследователей из Wordfence, вредоносная версия плагина была обнаружена по счастливой случайности. Новый куратор проекта, выкупив его 5 сентября у компании-разработчика BestWebSoft, через три месяца выпустил Captcha 4.3.7 под своим брэндом — Simply WordPress. Этот плагин довольно быстро изъяли из официального репозитория WordPress, попросив автора сменить торговую марку: в ее названии незаконно использовалось имя «WordPress», охраняемое авторским правом.

Факт изъятия из публичного доступа плагина с большой пользовательской базой привлек внимание специалистов из компании Wordfence, выпускающей брандмауэры веб-приложений для сайтов WordPress. Как пишет Мэтт Бэрри (Matt Barry) в блоге Wordfence, в таких случаях они всегда проверяют, не связан ли такой шаг с какой-либо ИБ-проблемой, о которой надо знать пользователям.

Анализ Captcha 4.3.7 показал наличие кода, запускающего процесс автообновления для загрузки некоего zip-файла из домена simplywordpress[.]net (что противоречит правилам WordPress.org, диктующим загрузку обновлений лишь из официального репозитория). После распаковки этот подозрительный апдейт устанавливается поверх работающей на сайте копии Captcha.

Как оказалось, кроме незначительных изменений кода исходного плагина, загружаемый zip-архив содержит файл plugin-update.php, который является бэкдором. По словам Бэрри, этот зловред открывает сессию под дефолтной учетной записью администратора (такой пользователь создается при первичной инсталляции WordPress), устанавливает куки аутентификации и удаляет свой код.

Примечательно, что установка бэкдора не требует подтверждения личности, то есть ее может запустить кто угодно. Во вредоносном zip-файле также присутствовал код, загружающий из домена Simply WordPress чистую копию обновления — чтобы окончательно стереть следы бэкдора.

Эксперты Wordfence известили WordPress.org о своей находке, и вскоре появилась Captcha 4.4.5, которая за минувший уикэнд была в автоматическом режиме установлена более чем на 100 тыс. сайтов.

Исследователи тем временем решили проверить, что еще предлагает Simply WordPress. В том же домене они обнаружили забэкдоренные обновления для следующих плагинов:

  • Covert me Popup
  • Death To Comments
  • Human Captcha
  • Smart Recaptcha
  • Social Exchange

Таких имен в репозитории WordPress нет. Тем не менее, в Wordfence пошли дальше и смогли установить связь Simply WordPress с персоной, уже известной аналогичными проделками — с плагинами Display Widgets и 404 to 301. Судя по всему, этот человек умышленно покупает плагины и модифицирует их, чтобы иметь возможность внедрять на сайты скрытые ссылки для повышения рейтинга собственных ресурсов (вроде Payday Loans) в поисковых системах.

Категории: Аналитика, Вредоносные программы