Ataki typu Supply Chain na pluginy WordPress
W ostatnim czasie zwiększa się liczba ataków na pluginy WordPress, ukierunkowanych na wykorzystanie kradzionych danych logowania. Hakerzy, posługując się skradzionymi danymi, uzyskują bezpośredni dostęp do kodu pluginów. Jednak to, co czyni te ataki szczególnie niebezpiecznymi, to fakt, że kompromitacja wydaje się być zwykłą aktualizacją dla użytkowników. Najczęściej spotykaną podatnością jest taka, w której niedoskonałość oprogramowania umożliwia hakerowi wstrzyknięcie złośliwego kodu lub przeprowadzenie innych rodzajów ataków. Niebezpieczeństwo jednak polega na tym, że kod samego oprogramowania lub jednego z jego komponentów (np. skryptu dostarczanego przez innego dostawcę) jest bezpośrednio modyfikowany w celu wprowadzenia złośliwego kodu. Oznacza to, że oprogramowanie dostarcza już zainfekowane pliki. Amerykańska Agencja Bezpieczeństwa Cyberprzestrzeni i Infrastruktury CISA definiuje atak typu Supply Chain (PDF) następująco: „Napotyka się na ten atak, gdy cyberprzestępca włamuje się do sieci dostawcy oprogramowania i wykorzystuje złośliwy kod, aby zainfekować oprogramowanie zanim dostawca je dostarczy klientom. Skompromitowane oprogramowanie następnie zagraża danym lub systemom klientów. Nowe oprogramowanie może od samego początku być skompromitowane, albo skompromitowanie może zdarzyć się na inne sposoby, na przykład za pomocą łatki lub hotfixa. W takich przypadkach kompromitacja nadal zachodzi przed wprowadzeniem łatki lub hotfixa do sieci klienta. Takie ataki dotykają wszystkich użytkowników skompromitowanego oprogramowania i mogą mieć poważne konsekwencje dla rządu, krytycznej infrastruktury i prywatnych oprogramowań”. W przypadku ataków na pluginy WordPress, hakerzy używają skradzionych danych logowania, aby uzyskać dostęp do kont deweloperów, którzy współtworzą pluginy. W ten sposób mogą dodawać złośliwy kod do pluginów WordPress, aby stworzyć konta użytkowników na poziomie administratora na każdej stronie, która wykorzystuje skompromitowane wtyczki. Organizacja Wordfence poinformowała, że kolejne wtyczki WordPress zostały skompromitowane. Bardzo prawdopodobne, że zaatakowanych zostanie jeszcze więcej. W związku z tym warto być świadomym sytuacji i proaktywnie chronić strony, za które jest się odpowiedzialnym.