Исследователи из Wordfence обнаружили бэкдор еще в трех WordPress-плагинах, поменявших хозяина. Анализ показал, что вредоносный код во всех трех случаях работает одинаково и используется для внедрения спама с целью накрутки рейтинга сторонних сайтов в поисковых системах. Все новые находки уже удалены из официального списка доступных плагинов WordPress.

Согласно записям в базе WordPress.org, плагины Duplicate Page and Post, No Follow All External Links и WP No External Links были проданы создателями весной и летом этого года. Покупателями числятся разные организации, причем все они зарегистрировались на WordPress.org за месяц до покупки.

Примечательно также, что, обращаясь к разработчику плагина с просьбой о продаже, автор письма во всех случаях использовал имена, которые нельзя отыскать в Интернете, а текст создавал по одному шаблону. Расследование показало, что все три покупки оплатило одно и то же лицо — британская маркетинговая компания Orb Online.

Бэкдор в Duplicate Page and Post, насчитывающем более 50 тыс. активных установок, впервые появился четыре месяца назад — с выпуском версии 2.1.0 этого плагина, а затем был обновлен в версии 2.1.1. В No Follow All External Links (свыше 9 тыс. установок) вредоносный код был внедрен в версию 2.1.0, которая вышла восемь месяцев назад. Забэкдоренный вариант WP No External Links (4.2.1) вышел четыре месяца назад; на момент изъятия из доступа этот плагин работал более чем на 30 тыс. сайтов.

По свидетельству Wordfence, бэкдор во всех трех случаях работал практически одинаково: при каждом запросе к зараженному сайту обращался в заданный домен и получал из него контент, ориентированный на определенные URL и User-Agent. Этот контент затем внедрялся на сайт в виде скрытых ссылок; судя по тому, что User-Agent на месте проверялся на соответствие данным поисковых роботов, этот спам был призван повысить рейтинг подопечных сайтов Orb Online в поисковых системах.

Оказалось также, что два из трех доменов, запрашиваемых бэкдорами, размещены на одном и том же IP-адресе.

Wordfence рекомендует пользователям названных плагинов незамедлительно от них избавиться, а также хорошенько проверить сайт на наличие SEO-спама. Один из плагинов — WP No External Links — был обновлен до чистой версии, однако исследователи подчеркивают, что в связи с удалением из официального списка он все равно не будет больше получать обновлений.

Заметим, подобные находки, неприятные для WordPress.org и пользователей CMS-системы, в последнее время участились. Так, летом и в сентябре команде WordPress пришлось состязаться в скорости с очень упорным перекупщиком Display Widgets, зараженные творения которого четырежды изгонялись из хранилища плагинов. По данным Wordfence, ранее этот же персонаж аналогичным образом модифицировал плагин 404 to 301. А совсем недавно стало известно, что он выкупил и забэкдорил еще один WordPress-плагин — Captcha.

Категории: Вредоносные программы, Кибероборона, Мошенничество, Спам