WordPress-plug-ins leverancier ShapedPlugin voorzien van backdoor

In dit artikel:

Beveiligingsonderzoeker Wordfence ontdekte dat de ontwikkel- en distributieomgeving van WordPress-leverancier ShapedPlugin recent is gekraakt, waardoor aanvallers een backdoor konden inbouwen in betaalde plug-ins die via de update-server van het bedrijf worden verspreid. Het gaat specifiek om Product Slider Pro for WooCommerce, Real Testimonials Pro en Smart Post Show Pro. De gratis varianten van die plug-ins bleken niet geïnfecteerd, al hadden de aanvallers volgens Wordfence wel de mogelijkheid om die ook te manipuleren.

De ingebouwde malware geeft kwaadwillenden niet alleen toegang tot gecompromitteerde sites, maar kapt ook gebruikersnamen, wachtwoorden, sessie-cookies en TOTP-seeds van diverse 2FA-plug-ins. Met die gestolen gegevens kunnen aanvallers tweefactorauthenticatie omzeilen. ShapedPlugin zegt bezig te zijn met opgeschoonde nieuwe versies en voert eerst diepgaand onderzoek uit voordat updates worden uitgerold; hoe de aanvallers binnenkwamen is nog onduidelijk.

Wordfence waarschuwt dat dit een voorbeeld is van een toenemende trend: supply-chain-aanvallen op software, ook binnen het WordPress-ecosysteem, en dat het doelwitmaken van 2FA-secrets extra reden tot zorg biedt. Site-eigenaren die de genoemde plug-ins gebruiken worden geadviseerd om geïnfecteerde versies te verwijderen of te vervangen zodra schone updates beschikbaar zijn, wachtwoorden en 2FA-gegevens te resetten en hun sites te scannen op compromitterende code.