Ataque à cadeia de suprimentos do WordPress expõe milhares de sites
No último dia 24 de junho de 2024, a equipe de Inteligência de Ameaças da Wordfence identificou um ataque significativo à cadeia de suprimentos do WordPress, afetando diversos plugins populares em sites.
De acordo com o Wordfence, o plugin Social Warfare foi comprometido por malware através do repositório do WordPress, resultando na inserção de contas administrativas maliciosas, spam de SEO, e até mesmo mineradores de criptomoeda em rodapés de sites.
Aproximadamente 35.000 sites podem ter sido afetados por este ataque, embora não esteja claro quantos atualizaram para uma versão vulnerável.
Como o ataque ocorreu?
O incidente foi resultado da reutilização de credenciais em contas de desenvolvedores do WordPress.org, como apontado pela declaração oficial da WordPress.org. Cinco contas de desenvolvedores com acesso de commit foram comprometidas devido ao uso de senhas encontradas em vazamentos de dados externos.
Esta prática permitiu que os atacantes comprometessem as contas e inserissem código malicioso nos plugins afetados sem detecção imediata.
Análise dos plugins afetados
Os plugins afetados incluem:
- Social Warfare;
- Blaze Widget;
- Wrapper Link Element;
- Contact Form 7 Multi-Step Addon;
- Simply Show Hooks.
Cada um desses plugins teve versões específicas vulneráveis que foram posteriormente corrigidas pela remoção do código malicioso e adição de medidas para invalidar senhas de administradores.
Investigação e conclusões da equipe de segurança
Durante a investigação, foi observado que os compromissos maliciosos não mostravam correlação clara entre os autores dos plugins, sugerindo que os atacantes exploraram contas individuais comprometidas em vez de comprometer a infraestrutura do WordPress.org.
A falta de sofisticação no código malicioso e o uso de comentários detalhados também indicam uma possível automação ou uso de ferramentas de IA na criação do malware.
Medidas de prevenção para desenvolvedores e empresas
Para evitar futuros ataques à cadeia de suprimentos como este, é fundamental que os desenvolvedores e organizações adotem práticas de segurança robustas:
- confirmação de lançamento por email: utilize a funcionalidade de confirmação de lançamento disponível no WordPress.org para validar todos os lançamentos de plugins e temas;
- senhas fortes e autenticação em dois fatores: implemente senhas fortes e únicas para todas as contas com acesso de commit, além de habilitar a autenticação em dois fatores para uma camada adicional de segurança;
- monitoramento e revisão independente: mantenha um monitoramento constante das atualizações de plugins e temas, verificando cada novo commit para identificar atividades suspeitas.
Recomendações para proprietários de sites WordPress
Para os proprietários de sites WordPress, recomenda-se:
- atualizações manuais de plugins e temas: desative as atualizações automáticas e revise o código de cada plugin e tema antes de aplicar as atualizações manualmente;
- evitar plugins abandonados: evite usar plugins não mantidos, pois eles representam um risco maior devido à falta de atualizações de segurança;
- escaneamento regular de malware: implemente verificações regulares de malware para detectar qualquer atividade maliciosa em seu site.
Conclusão
Este incidente destaca a importância de práticas de segurança rigorosas e vigilância constante na gestão de plugins e temas do WordPress. Ao adotar medidas preventivas e manter-se informado sobre as melhores práticas de segurança digital, empresas podem reduzir significativamente o risco de comprometimento de seus sites.
Aqui na Agência Henshin oferecemos serviços de suporte preventivo e recorrente para certificar que esse tipo de problema não ocorra com o seu site. Para saber mais detalhes de como ele funciona, entre em contato conosco!
CEO da Agência Henshin e consultor de marketing digital, fascinado por marketing de conteúdo e admirador da cultura japonesa.
