Beberapa plugin WordPress baru-baru ini mengalami insiden penusupan di mana kode berbahaya disisipkan untuk membuat akun administrator dengan tujuan melakukan tindakan tidak sah.
Chloe Chamberland dari tim keamanan Wordfence mengingatkan, “Malware yang disisipkan berusaha menciptakan akun pengguna admin baru dan mengirimkan detailnya kembali ke server yang dikendalikan oleh penyerang.”
Selain itu, terdapat juga penyisipan JavaScript jahat di bagian bawah situs web, yang tampaknya bertujuan menambahkan spam SEO di seluruh situs.
Akun admin yang dibuat memiliki nama pengguna “Options” dan “PluginAuth,” dengan informasi akun yang disisipkan menuju alamat IP 94.156.79[.].
Saat ini belum jelas bagaimana serangan terhadap plugin ini berhasil dilakukan oleh penyerang yang tidak dikenal, tetapi indikasi awal menunjukkan serangan dalam rantai pasokan perangkat lunak yang dimulai pada 21 Juni 2024.
Plugin-plugin yang terkena dampak telah dihapus dari direktori plugin WordPress untuk sementara waktu, sambil menunggu peninjauan lebih lanjut:
- Social Warfare 4.4.6.4 – 4.4.7.1 (Patched version: 4.4.7.3) – 30,000+ installs
- Blaze Widget 2.2.5 – 2.5.2 (Patched version: N/A) – 10+ installs
- Wrapper Link Element 1.0.2 – 1.0.3 (Patched version: N/A) – 1,000+ installs
- Contact Form 7 Multi-Step Addon 1.0.4 – 1.0.5 (Patched version: N/A) – 700+ installs
- Simply Show Hooks 1.2.1 (Patched version: N/A) – 4,000+ installs
Pengguna plugin yang terpengaruh disarankan untuk memeriksa keberadaan akun administrator yang mencurigakan dan menghapusnya, serta membersihkan kode berbahaya dari situs mereka.
