Chloe Chamberland, la investigadora de seguridad de Wordfence, señaló en una alerta reciente que un malware inyectado está intentando generar una nueva cuenta de usuario administrador y enviar la información al servidor controlado por el atacante. Además, el actor de amenazas ha incorporado JavaScript malicioso en el pie de página de los sitios web, lo que aparentemente agrega spam de SEO en todo el sitio.
Las cuentas de administrador llevan los nombres de usuario «Options» y «PluginAuth», y la información de la cuenta se envía a la dirección IP 94.156.79[.]8. Actualmente, no se conoce el método utilizado por los atacantes para comprometer los complementos. Sin embargo, los primeros indicios de este ataque de la cadena de suministro de software datan del 21 de junio de 2024. Los complementos afectados ya no están disponibles para su descarga desde el directorio de complementos de WordPress y están pendientes de revisión.
Aquellos que utilizan los complementos mencionados deben realizar una inspección exhaustiva de sus sitios web en busca de cuentas de administrador sospechosas, eliminarlas y eliminar cualquier código malicioso.
Vía The Hacker News