Dezenas de plug-ins para o amplamente utilizado software de blog de código aberto WordPress agora estão off-line depois que um backdoor foi descoberto neles, usado para enviar código malicioso a qualquer site que dependesse dos plug-ins. O backdoor foi descoberto depois que um novo proprietário corporativo comprou esses plug-ins.
O fundador da Anchor Hosting, Austin Ginder, soou o alarme em uma postagem no blog na semana passada descrevendo um ataque à cadeia de suprimentos em um fabricante de plug-ins para WordPress chamado Essential Plugin. Ginder disse que alguém no ano passado comprei o plugin essencial e o backdoor logo foi adicionado ao código-fonte dos plug-ins. O backdoor permaneceu inativo até o início deste mês, quando foi ativado e começou a distribuir código malicioso para qualquer site com os plug-ins instalados.
Plug-in essencial diz em seu site que possui mais de 400.000 instalações de plug-ins e mais de 15.000 clientes. Página de instalação do plug-in do WordPress diz os plug-ins afetados estão em mais de 20.000 instalações ativas do WordPress.
Os plug-ins permitem que os proprietários de sites baseados em WordPress ampliem a funcionalidade do site, mas, ao fazer isso, concedem aos plug-ins acesso às suas instalações, o que pode abrir esses sites a extensões maliciosas e possíveis comprometimentos. Mas Ginder alertou que os usuários do WordPress não são notificados sobre qualquer mudança de propriedade dos plug-ins, expondo os usuários a possíveis ataques de aquisição por parte de seus novos proprietários.
Segundo Ginder, este é o segundo sequestro de um plug-in WordPress descoberto em algumas semanas. Os pesquisadores de segurança há muito avisado dos riscos de agentes maliciosos comprarem software e alterarem o seu código, a fim de comprometer um grande número de computadores em todo o mundo.
Enquanto os plug-ins foram removidos do diretório do WordPress e agora listar seu fechamento como “permanente”, Ginder alertou que os proprietários do WordPress devem verificar se ainda têm um dos plug-ins maliciosos instalados e removê-lo. Ginder tem uma lista dos plug-ins afetados na postagem do blog.
Os representantes do Essential Plugin não responderam a um pedido de comentário.
