Ataque à cadeia de fornecimento afeta WordPress

Um ataque à cadeia de fornecimento comprometeu vários plugins populares do WordPress, expondo mais de 1,2 milhões de sites a potenciais tentativas de intrusão.

A campanha foi identificada pela empresa de segurança Sansec e afetou plugins desenvolvidos pela Awesome Motive, amplamente utilizados em websites baseados na plataforma WordPress.

Em vez de comprometer diretamente os sites das vítimas, os atacantes alteraram ficheiros JavaScript distribuídos através de uma infraestrutura legítima de distribuição de conteúdos (CDN). Como resultado, os sites que carregavam esses ficheiros executavam automaticamente o código malicioso.

Segundo os investigadores, o malware foi concebido para permanecer discreto e apenas era ativado quando um administrador autenticado acedia ao painel de gestão do WordPress. Esta abordagem dificultava a deteção por ferramentas automáticas de análise e monitorização.

Após a ativação, o código recolhia informação do ambiente de administração e procurava criar contas com privilégios elevados sem autorização. Os atacantes podiam, assim, obter acesso persistente aos sites comprometidos.

Os investigadores identificaram também mecanismos destinados a ocultar componentes maliciosos instalados nos sistemas afetados. Estas ferramentas permitiam manter o acesso remoto e dificultavam a deteção através dos mecanismos normais de administração da plataforma.

A exploração ativa da campanha foi confirmada por empresas de segurança que reportaram múltiplas tentativas de criação de contas administrativas não autorizadas em sites WordPress.

De acordo com a Awesome Motive, o incidente teve origem na exploração de uma vulnerabilidade num componente utilizado pela empresa. Os atacantes terão conseguido obter acesso a sistemas internos relacionados com a infraestrutura de distribuição, utilizando posteriormente essas credenciais para modificar os ficheiros disponibilizados aos clientes.

A empresa informou que removeu o código malicioso, substituiu credenciais comprometidas, limpou as caches da infraestrutura de distribuição e transferiu os sistemas afetados para novos ambientes.

Especialistas recomendam que os administradores dos sites potencialmente afetados realizem auditorias às contas com privilégios elevados, validem a integridade dos componentes instalados e procedam à atualização das credenciais de acesso.