За последние месяцы плагин Display Widgets не раз уличали в установке бэкдора на сайтах WordPress. Вредоносные версии этого плагина (с 2.6.1 по 2.6.3, выпуска от 30 июня и 2 сентября, соответственно) трижды удалялись из репозитория WordPress.org, однако, как сообщает Bleeping Computer, новый хозяин Display Widgets каждый раз обновлял его, сохраняя вредоносный код, и возвращал в хранилище.

Плагин Display Widgets, как следует из его названия, позволяет владельцам WordPress-сайтов контролировать показ виджетов, в частности решать, какие именно виджеты отображаются, когда и каким образом. Создателем Display Widgets является Стефани Уэллс (Stephanie Wells) из Strategy11, однако, занявшись написанием премиум-версии плагина, она решила продать продукт с открытым исходным кодом разработчику, который бы пекся о пользовательской базе.

Display Widgets был выкуплен в мае, и 21 июня его новый владелец выпустил версию 2.6.0. На следующий день Дэвид Лоу (David Law), специалист по оптимизации поисковых систем и автор аналогичного плагина Display Widgets SEO Plus, сообщил команде WordPress.org, что Display Widgets 2.6.0 загружает со стороннего сервера 38 МБ кода в нарушение установленных правил. По словам Лоу, этот код позволяет хозяину фиксировать в логах трафик на сайте, со сбором такой информации, как IP-адреса пользователей, строки user-agent, домены хранилищ данных и просматриваемые страницы.

Судя по жалобам на форуме техподдержки плагинов WordPress, пользователи тоже заметили подозрительное поведение Display Widgets. Через день после подачи отчета Лоу провинившийся плагин был удален из репозитория. Согласно статистике WordPress.org, на момент изгнания забэкдоренного варианта из репозитория Display Widgets работал не менее чем на 200 тыс сайтов, хотя неизвестно, сколь многие из них успели обновить плагин до вредоносной версии.

Однако новый куратор проекта на этом не остановился и через неделю, 1 июля, восстановил статус Display Widgets и выпустил версию 2.6.1. В состав этой версии был включен файл geolocation.php размером 38 МБ — все тот же бэкдор. Лоу, следивший за успехами конкурентов, вновь указал WordPress.org на правонарушение: помимо фиксации трафика, бэкдор позволял хозяину плагина соединяться с удаленными сайтами и создавать новые страницы или посты.

После повторного удаления в хранилище WordPress почти сразу объявился Display Widgets 2.6.2. Пару недель новая версия не проявляла вредоносной активности, а затем на форуме появилась запись о том, что Display Widgets создает «недетектируемые страницы со спам-ссылками». Автор этой записи, некто Кельвин Нган (Calvin Ngan), утверждал, что источником вредоносной активности является файл geolocation.php, включенный в состав версии 2.6.1 этого плагина.

Расследование, проведенное силами Wordfence, показало, что созданные с помощью зловреда страницы и блог-записи не отображаются в бэкенд-панели администратора и видны лишь рядовым посетителям сайта. Для создания секретных записей вредоносный код запрашивал контент из удаленного домена. Исследователям удалось обнаружить четыре сайта в зоне .io, к которым обращалась новая версия Display Widgets. Все они были зарегистрированы в июле и размещались на одном и том же сервере — 52.173.202.113.

Команде WordPress.org вновь пришлось изымать вредоносный плагин из репозитория, однако 2 сентября в него был загружен Display Widgets 2.6.3, с тем же бэкдором. Четвертое и, по всей видимости, окончательное изгнание правонарушителя из хранилища плагинов произошло 8 сентября. Судя по всему, провинившийся продукт забрал под свою опеку проект WordPress.org, так как вскоре появился Display Widgets 2.7.0, по коду идентичный 2.0.5 — последней «чистой» версии на момент продажи. На сайте WordPress.org плагин более не доступен, однако, по данным Bleeping Computer, он продолжает обновляться на местах через бэкенд-серверы.

Исследователям из Wordfence во главе с Марком Мондером (Mark Maunder) удалось  с большой долей уверенности установить, кто стоит за бэкдор-атаками. По их словам, это тот же человек, который ранее угнал и модифицировал WordPress-плагин, называемый 404 to 301, чтобы тот так же скрытно внедрял спамовые ссылки и контент на сторонние сайты.

Категории: Вредоносные программы, Спам