- Регистрация
- 04.11.2010
- Сообщения
- 2 382
- Благодарностей
- 916
- Баллы
- 113
Плагин, известный под простым названием Captcha, является одним из наиболее популярных CAPTCHA-решений для WordPress и одним из самых популярных дополнений в официальном репозитории. Но недавно в продукте, количество установок которого уже перевалило за 300 000, был обнаружен бэкдор.
Плагин Captcha был создан компанией BestWebSoft, и согласно ее официальному блогу, бесплатная версия продукта еще в сентябре 2017 года была продана разработчику Simply WordPress.
Спустя ровно три месяца с момента продажи новый владелец представил обновленную версию плагина, Captcha 4.3.7, которая, как вскоре выяснилось, содержала вредоносный код. Он заставлял плагин связываться с доменом simplywordpress[.]net и загружать оттуда еще одно обновление, уже в обход официального репозитория WordPress.org, что запрещено правилами. Хуже того, данное обновление содержало полноценный бэкдор.
При этом бэкдор мог бы вообще остаться незамеченным, так как его автор предпринял шаги для маскировки своей деятельности и удалял все следы подозрительного обновления с серверов. Плагин привлек внимание разработчиков WordPress случайно, из-за нарушения авторских прав, — новый автор использовал в названии продукта торговую марку WordPress, из-за чего плагин был удален из официального репозитория. Лишь это удаление привлекло внимание аналитиков Wordfence, которые заинтересовались ситуацией, так как всегда обращают внимание на инциденты, затрагивающие популярные среди пользователей CMS решения.
В настоящее время в официальном репозитории представлена старая, «чистая» версия Captcha (4.4.5), которую туда поместила команда безопасности WordPress. Также разработчики инициировали принудительную установку этой версии на все пострадавшие сайты. По данным инженеров WordPress, только в прошлые выходные обратно к безопасной версии обновились более 100 000 сайтов.
После обнаружения бэкдора исследователи продолжили анализ деятельности компании Simply WordPress и обнаружили, что домен simplywordpress[.]net распространяет обновления с бэкдорами и для других плагинов, не представленных в репозитории WordPress:
В итоге эксперты Wordfence пришли к выводу, что за Simply WordPress стоит человек, которого ранее уже уличали в распространении бэкдоров через плагины. По мнению экспертов, компания принадлежит Мейсону Сойза (Mason Soiza), который занимался внедрением вредоносного кода в плагин Display Widgets. Напомню, что данный «продукт» удаляли из репозитория четыре раза.
Источник: xakep.ru
Плагин Captcha был создан компанией BestWebSoft, и согласно ее официальному блогу, бесплатная версия продукта еще в сентябре 2017 года была продана разработчику Simply WordPress.
Спустя ровно три месяца с момента продажи новый владелец представил обновленную версию плагина, Captcha 4.3.7, которая, как вскоре выяснилось, содержала вредоносный код. Он заставлял плагин связываться с доменом simplywordpress[.]net и загружать оттуда еще одно обновление, уже в обход официального репозитория WordPress.org, что запрещено правилами. Хуже того, данное обновление содержало полноценный бэкдор.
— пишут аналитики компании Wordfence, обнаружившие проблему.
При этом бэкдор мог бы вообще остаться незамеченным, так как его автор предпринял шаги для маскировки своей деятельности и удалял все следы подозрительного обновления с серверов. Плагин привлек внимание разработчиков WordPress случайно, из-за нарушения авторских прав, — новый автор использовал в названии продукта торговую марку WordPress, из-за чего плагин был удален из официального репозитория. Лишь это удаление привлекло внимание аналитиков Wordfence, которые заинтересовались ситуацией, так как всегда обращают внимание на инциденты, затрагивающие популярные среди пользователей CMS решения.
В настоящее время в официальном репозитории представлена старая, «чистая» версия Captcha (4.4.5), которую туда поместила команда безопасности WordPress. Также разработчики инициировали принудительную установку этой версии на все пострадавшие сайты. По данным инженеров WordPress, только в прошлые выходные обратно к безопасной версии обновились более 100 000 сайтов.
После обнаружения бэкдора исследователи продолжили анализ деятельности компании Simply WordPress и обнаружили, что домен simplywordpress[.]net распространяет обновления с бэкдорами и для других плагинов, не представленных в репозитории WordPress:
- Covert me Popup;
- Death To Comments;
- Human Captcha;
- Smart Recaptcha;
- Social Exchange.
В итоге эксперты Wordfence пришли к выводу, что за Simply WordPress стоит человек, которого ранее уже уличали в распространении бэкдоров через плагины. По мнению экспертов, компания принадлежит Мейсону Сойза (Mason Soiza), который занимался внедрением вредоносного кода в плагин Display Widgets. Напомню, что данный «продукт» удаляли из репозитория четыре раза.
Источник: xakep.ru