The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выявлена скупка плагинов к WordPress для распространения вредоносного кода

19.09.2017 10:59

Плагин "Display Widgets", насчитывающий более 200 тысяч установок, окончательно удалён из каталога плагинов к WordPress после серии инцидентов, в результате которых была осуществлена подстановка вредоносного кода в новые выпуски. Указанный код представлял собой бэкдор, позволяющий владельцам плагина контролировать контент на использующих плагин сайтах и выполнять подстановку своих рекламных блоков. Всем пользователям Display Widgets рекомендуется прекратить использование ветки 2.6.x.

Проблемы начались после того, как автор плагина, заинтересованный в развитии коммерческого аналога, продал "Display Widgets" другому разработчику, который обещал продолжить сопровождение плагина. 21 июня, спустя месяц после завершения сделки, новым владельцем было выпущено обновление 2.6.0, в котором была представлена поддержка средств для определения местоположения по базе GeoIP.

На следующий день после релиза к администраторам каталога плагинов WordPress поступила жалоба о нарушении требований к размещаемым в каталоге дополнениям. В частности, было выявлено, что плагин загружает около 38 Мб данных, содержащих информацию о географической привязке IP-адресов от компании Maxmind. После удаления дополнения из каталога, через неделю новый владелец плагина выпустил обновление, в котором устранил проблему путём интеграции GeoIP БД в основную поставку в виде виде файла geolocation.php. Дополнение было восстановлено в каталоге.

После изучения нового кода вновь было найдено нарушение правил - плагин передавал сведения о посетителях на внешний сервер, нарушая конфиденциальность пользователей. 1 июля дополнение было блокировано второй раз, а 6 июля был выпущен релиз 2.6.2 с активной по умолчанию опцией для отключения отправки логов. Дополнение было восстановлено, но 23 июля стали поступать жалобы о появлении спама на сайтах с плагином "Display Widgets", подтверждённые ссылками на кэш Google.

Разбор проблем показал, что источником спама является файл geolocation.php, в котором оказался спрятан бэкдор, позволяющий владельцам плагина публиковать новый контент на сайтах пользователей, а также заменять или удалять содержимое страниц. При этом для зарегистрированных пользователей и администраторов вредоносный код отображал изначальное содержимое, а для остальных пользователей выводил изменённый контент. Вредоносный код использовался для подстановки сторонней рекламы, незаметно для постоянных пользователей и администраторов сайтов. 24 июля дополнение в третий раз было заблокировано.

2 сентября был сформирован релиз 2.6.3, а 7 сентября возобновились жалобы на появление спама на сайтах пользователей плагина. На жалобы пользователей разработчики отвечали советом почистить кэш браузера, установить новую версию "Display Widgets" и почистить содержимое таблицы wp_options. Разработчики также пытались ввести пользователей в заблуждение, указывая в качестве причины появления спама наличие уязвимости, проявляющейся только при включении режима GEO Location в сочетании с применением других дополнений.

В итоге в новой версии также был выявлен изменённый бэкдор и 8 сентября администрация WordPress в четвёртый раз заблокировала "Display Widgets" с предупреждением о наличии критических проблем с безопасностью, а для пользователей было сформировано обновление 2.7.0 в котором произведён откат на кодовую базу 2.0.5, последнюю версию до продажи.

Стефани Велс (Stephanie Wells), изначальный автор дополнения, прокомментировала, что дополнение было продано Мэйсону Сойза (Mason Soiza) за 15 тысяч долларов, который представлял компанию WP Devs, заявляющую о владении 34 плагинами c аудиторией более 10 млн пользователей. Примечательно, что ранее наблюдалась аналогичная ситуация со спамом в плагине "404 to 301", который тоже купил Сойза. Также была договорённость о покупке плагина Finance Calculator, но его автор отменил сделку, узнав об инциденте с "Display Widgets". Об остальных плагинах, купленных Сойза, пока ничего не известно. Из хостов, с которых загружался вредоносный код упоминаются stopspam.io, w-p.io, geoip2.io и maxmind.io.

  1. Главная ссылка к новости (https://www.wordfence.com/blog...)
  2. OpenNews: Создатель вредоносного ПО блокировал отчёт о проблеме под предлогом нарушения авторских прав
  3. OpenNews: Фишинг-атака по захвату браузерных дополнений для встраивания в них вредоносного кода
  4. OpenNews: Chrome-дополнение Particle было выкуплено у автора и превращено во вредоносное ПО
  5. OpenNews: Зафиксирована скупка популярных браузерных дополнений для распространения вредоносного кода
  6. OpenNews: В рекламных сетях выявлено вредоносное ПО, скрытое в графических баннерах
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/47229-wordpress
Ключевые слова: wordpress, plugin
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (49) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:04, 19/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    То есть это не исключительно гуглохромовское явление? Вот это наверное неслабый такой удар по мирку анонимус-диванус-экспертус-опеннетусов.
     
     
  • 2.3, llolik (ok), 11:19, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > То есть это не исключительно гуглохромовское явление?

    Какое? Продажа разработки единственным разработчиком совершенно левому чуваку, который ничего не обещал?

     
     
  • 3.45, Аноним (-), 23:31, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Наоборот же: "разработчику, который обещал...".
    Девушка поверила.
     
     
  • 4.47, llolik (ok), 08:20, 20/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, как там в блоге у девушки написано, обещал взять на себя разработку и улучшить работу с последними версиями Wordpress. Может улучшить-то он и улучшил, а вот что он будет делать в плане разработки, он ничего не обещал :)
     
  • 4.48, Аноним (-), 11:15, 20/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >Наоборот же: "разработчику, который обещал...".

    "Кто в экономике или политике верит на слово, тот круглый дурак". Ленин В.И.

     
  • 2.12, Аноним (-), 11:56, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь любой скрипткидди знает как хакнуть кучу народа. С таким подходом - любая система уязвима, потому что каталоги дополнений не проверяют их на качество.
     
     
  • 3.17, Аноним (-), 12:42, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > С таким подходом - любая система уязвима, потому что каталоги дополнений не проверяют их на качество.

    Уязвима любая система, _использующая каталоги дополнений/приложений_.

     
  • 3.26, Аноним (-), 14:57, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Репы что ли проверяют? Там даже денег не надо платить. Такимим темпами любой сторонний совт опасен и надо покупать только эпло мелко шапко подобное.
     
     
  • 4.29, Аноним (-), 15:49, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Репы что ли проверяют?

    В нормальных дистрибутивах — да. Во-первый, майнтейнер и разработчик как правило совершенно разные люди, во-вторых, новый пакет при добавлении проходит рецензирование. Ну и вообще в майнтейнеры кого попало с улицы не берут, на первое время назначают ментора и всё такое.

     
     
  • 5.38, Аноним (-), 20:29, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ахаха, открою тебе секрет, мой друг Аноним.
    Мэйнтейнить пакеты в некоммерческих дистрибутивах- дело сугубо добровольное, кто вызвался - того и взяли. Это как раз соответствует твоему "кого попало с улицы". Менторов на всех не напасёшься, максимум что могут сделать - это кикнуть проблемый пакет из репозитория, если на него сильно жалуются.
     
     
  • 6.57, Аноним (-), 20:28, 21/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ты это мне, майнтейнеру, рассказываешь?
     
  • 3.39, pavlinux (ok), 20:30, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Теперь любой скрипткидди

    Этому баяну уже 5000 лет, когда плохие покупали известного, чтоб он говорил нужное. (см. Парламент)

     
  • 3.41, Sabakwaka (ok), 20:56, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Теперь любой скрипткидди знает

    Ну, да.
    Берешь USD $150000, покупаешь 10 плагинов по $15000, а там оно само напишется.
    Из уважения к трусам ихой бабушки сам собою возникнет вредоносный код.

     

  • 1.2, A.Stahl (ok), 11:09, 19/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >который также купил Сойза

    Ну так посадите его. Неужели для его действий не найдётся статьи?

     
     
  • 2.4, ЫЫ (?), 11:29, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А вы ведь когда читали текст такого рода, хлопали в ладоши и умилялись опенсорсу, не так ли?
    "
    Вы используете продукт как есть, без каких - либо гарантий... Издатель не гарантирует применимость данного продукта для решения ваших задач... ну и т.д.
    "
     
     
  • 3.7, A.Stahl (ok), 11:36, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А никто и не требует никаких гарантий применимости. На лицо обычное мошенничество -- ПО выполняет очевидно вредительские функции, которые не были заявлены.
    Да, продавать метиловую водку наказуемо, даже если на ней написать что водка вредит здоровью.
     
  • 3.11, ананим.orig (?), 11:54, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И к зачем ты этот обязательный фрагмент любой ЕУЛА написал?
    И так понятно что тролль.
     
  • 3.32, fi (ok), 16:46, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А с чего ты взял что это опенсорс??? там какая лицензия была?? ты видел??
     
  • 2.14, ананим.orig (?), 12:00, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Найдется. Мошенничество например.
    Но в основе — разделение труда. Программист пишет код. Мэнтейнер — мэнтейнит и тд.
    А юристу ещё надо самому объяснить что в кап.общЪстве может оказывается тоже быть открытый код.
    Вон тролля выше как "колбаснуло" тою
     
  • 2.27, Аноним (-), 14:58, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >>который также купил Сойза
    > Ну так посадите его. Неужели для его действий не найдётся статьи?

    Странно, что сразу не заблокировали. Видимо, случает когда кто-то закачивал бекдоры случайно не единичны.

     

  • 1.8, Аноним (-), 11:46, 19/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >окончательно удалён из каталога плагинов к WordPress после серии инцидентов, в результате которых была осуществлена подстановка вредоносного кода в новые выпуски.

    А зачем удалять? Вычистить вредоносный код, заблокировать возможность обновления недоверенному автору. Не?

     
  • 1.9, Какаянахренразница (ok), 11:46, 19/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ух ты! А мои плагины с парой десятков пользователей никто не хочет купить за 15 тысяч баксиков? Ну хоть за 14,999, а?...
     
     
  • 2.15, A.Stahl (ok), 12:25, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >,

    Не совсем понимаю как ты хочешь получить третью девятку после запятой. Банки такое умеют?

     
     
  • 3.18, 123 (??), 12:52, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    В фин операциях  до 4-го знака округление обычно.
     
  • 3.19, Аноним (-), 12:55, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    В банковской сфере легко.  Вообще многие варианты полей типа Currency в БД имют размерность 4 знака
     
  • 3.28, Ordu (ok), 15:38, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это очевидно не запятая, которая разделяет дробную и целую части, а запятая, разделяющая группы разрядов чисто для читаемости.
     
     
  • 4.30, A.Stahl (ok), 16:01, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Группы разрядов разделяются апострофом, а не запятой.
     
     
  • 5.31, ACCA (ok), 16:34, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    LC_NUMERIC с тобой не согласен.
     
  • 5.34, Нанобот (ok), 18:31, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    От региона зависит
     
     
  • 6.49, Аноним (-), 11:18, 20/09/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > От региона зависит

    А мы что, по-китайски тут пищем, а сайт находится на .cn? По-русски надо писать, по-русски: 14 999, 14.999, 14999. Развелись тут "дети мира". понимаешь. Давить таких надо ещё в зародыше.

     
     
  • 7.54, Anonymoustus (ok), 16:22, 20/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Люто, бешено плюсую.
     
  • 7.58, Какаянахренразница (ok), 07:08, 22/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> От региона зависит
    > А мы что, по-китайски тут пищем, а сайт находится на .cn? По-русски
    > надо писать, по-русски: 14 999, 14.999, 14999. Развелись тут "дети мира".
    > понимаешь. Давить таких надо ещё в зародыше.

    だってさー、中国語でも書けるんやで。だから、コンマを使うよ!

    А запятая использована, доллары мы обсуждаем патамушта.

     
  • 5.37, Ordu (ok), 19:52, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Группы разрядов разделяются апострофом, а не запятой.

    Апострофом всякие футы да дюймы обозначают, не?

     

  • 1.10, Аноним (-), 11:49, 19/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Дайте Мэйсону ещё один шанс, код не его, он лишь разместил плагин
     
     
  • 2.13, Аноним (-), 11:56, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    И мопед не его, ага ^_^
     
     
  • 3.33, Аноним (-), 17:31, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ты откуда такой, красавчег?
     

  • 1.16, Аноним (-), 12:27, 19/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > жалобы о появлении спама на сайтах с плагином "Display Widgets"

    Спам на сайте? Это как?

     
     
  • 2.55, Аноним (-), 17:23, 20/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Будем откровенны 95% населения — идиоты. Если вам  нужны доказательства, посмотрите вокруг себя, на всех этих людей, которые прожигают свою жизнь. Почему они это делают, и как стать более свободным? Вы можете узнать на нашем авторском канале.
     

  • 1.21, Аноним (-), 13:06, 19/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Но дырявый насквозь wordpress который к тому же стучит о себе на сайт авторов же сам по себе вредоносный софт...
     
     
  • 2.35, AntonAlekseevich (ok), 18:52, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Что после этих инцидентов предлагаешь переходить на другой движок? (К примеру Grav.)
     
     
  • 3.36, Аноним (-), 19:21, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Flat-file CMS

    Зокопать.

     
     
  • 4.42, AntonAlekseevich (ok), 21:30, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Флэтфайл CMS будет в разы лучше, вместо того чем кормят студентов уровня Профессий СПО.

    Доступ к БД не нужен, странички работают на Markdown, Twig и HTML(Можно и PHP туда приписать, если постараться.) особых проблем с сайтом на этой CMS не наблюдается.

     
     
  • 5.44, Аноним (-), 22:53, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Флэтфайл

    это что за зверь?

    > Доступ к БД не нужен, странички работают на Markdown, Twig и HTML(Можно
    > и PHP туда приписать, если постараться.) особых проблем с сайтом на
    > этой CMS не наблюдается.

    Recommended Tools
    - Text Editors
    - Markdown Editors
    - FTP Clients

    я всё понимаю: не можешь держаться чтобы не навалить в любой похожей теме свою кучу, но чтобы не было так смешно, ознакомься с предметом

     
     
  • 6.51, AntonAlekseevich (ok), 15:14, 20/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > это что за зверь?

    Кириллизованное название типа. (Английское Flat-File)

    > я всё понимаю: не можешь держаться чтобы не навалить в любой похожей теме свою кучу, но чтобы не было так смешно, ознакомься с предметом

    Как "приятно" это читать, но что предложите взамен?

     
  • 3.43, Аноним (-), 22:49, 19/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Что после этих инцидентов предлагаешь переходить на другой движок? (К примеру Grav.)

    ну-ну https://getgrav.org/downloads/plugins

     
     
  • 4.53, AntonAlekseevich (ok), 15:22, 20/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > ну-ну https://getgrav.org/downloads/plugins

    А что? Пусть пока плагинов не так много, но всё же лучше чем ничего.

     
  • 3.50, Аноним (-), 11:46, 20/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ни в коем случае. Если у вас извилины зашевелились только от "этих инцидентов", а то что это для wordpress норма вы не видите, вам что-то предлагать и советовать бесполезно. Кушайте дальше wordpress, не обляпайтесь.
     
     
  • 4.52, AntonAlekseevich (ok), 15:20, 20/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ни в коем случае.

    Не спорю.
    > Если у вас извилины зашевелились только от "этих инцидентов", а то что это для wordpress норма вы не видите, вам что-то предлагать и советовать бесполезно.

    Если для WP это норма то ладно, окей, "забить и вышвырнуть".
    > Кушайте дальше wordpress, не обляпайтесь.

    На любое предложение может быть отказ и это итак понятно.

     

  • 1.40, Аноним (-), 20:48, 19/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Да чтоб таких "программистов" и "хакеров" мучала всю жизнь страшная бессонница.(когда спать просто жесть как хочется, ты устал и вымотан, но заснуть никогда не получается)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру