Els atacants van aconseguir incrustar una porta del darrere en 40 connectors i 53 temes per al sistema de gestió de continguts de WordPress, desenvolupat per AccessPress, que afirma que els seus complements s'utilitzen en més de 360 mil llocs. Encara no s'han proporcionat els resultats de l'anàlisi de l'incident, però se suposa que el codi maliciós es va introduir durant el compromís del lloc web d'AccessPress, fent canvis als arxius que s'ofereixen per a la seva descàrrega amb versions ja llançades, ja que la porta del darrere està present. només en el codi distribuït a través del lloc web oficial d'AccessPress, però està absent en els mateixos llançaments de complements distribuïts a través del directori WordPress.org.
Els canvis maliciosos van ser descoberts per un investigador de JetPack (una divisió del desenvolupador de WordPress Automatic) mentre examinava el codi maliciós trobat al lloc web d'un client. Una anàlisi de la situació va mostrar que hi havia canvis maliciosos al complement de WordPress descarregat des del lloc web oficial d'AccessPress. Altres complements del mateix fabricant també estaven subjectes a modificacions malicioses que permetien l'accés total al lloc amb drets d'administrador.
Durant la modificació, els atacants van afegir el fitxer "initial.php" als arxius amb complements i temes, que es va connectar mitjançant la directiva "include" al fitxer "functions.php". Per confondre el rastre, el contingut maliciós del fitxer "initial.php" es va camuflar com un bloc de dades codificat en base64. La inserció maliciosa, sota l'aparença d'obtenir una imatge del lloc web wp-theme-connect.com, va carregar directament el codi de la porta posterior al fitxer wp-includes/vars.php.
Els primers llocs que van incloure canvis maliciosos als complements d'AccessPress es van identificar el setembre de 2021. Se suposa que va ser llavors quan es va inserir la porta del darrere als complements. La primera notificació a AccessPress sobre el problema identificat no va rebre resposta i AccessPress només va poder cridar l'atenció després d'implicar l'equip de WordPress.org en la investigació. El 15 d'octubre de 2021, els arxius afectats per la porta posterior es van eliminar del lloc web d'AccessPress i es van publicar noves versions dels complements el 17 de gener de 2022.
Sucuri va examinar per separat els llocs on es van instal·lar versions afectades d'AccessPress i va identificar la presència de mòduls maliciosos carregats a través d'una porta posterior que enviava correu brossa i transicions redirigits a llocs fraudulents (els mòduls tenien la data de 2019 i 2020). Se suposa que els autors de la porta del darrere venien accés a llocs compromesos.
Temes en què es registra la substitució de la porta del darrere:
- accessbuddy 1.0.0
- accesspress-basic 3.2.1
- accesspress-lite 2.92
- accesspress-mag 2.6.5
- accesspress-parallax 4.5
- accesspress-ray 1.19.5
- accesspress-root 2.5
- accesspress-staple 1.9.1
- accesspress-store 2.4.9
- agency-lite 1.1.6
- aplite 1.0.6
- bingle 1.0.4
- blogger 1.2.6
- construction-lite 1.2.5
- doko 1.0.27
- il·luminar 1.3.5
- botiga de moda 1.2.1
- fotografia 2.4.0
- gaga-corp 1.0.8
- gaga-lite 1.4.2
- un espai 2.2.8
- parallax-blog 3.1.1574941215
- parallaxsoma 1.3.6
- punt 1.1.2
- gira 1.3.1
- ondulació 1.2.0
- scrollme 2.1.0
- sportsmag 1.2.1
- magatzem 1.4.1
- swing-lite 1.1.9
- el llançador 1.3.2
- el-dilluns 1.4.1
- uncode-lite 1.3.1
- unicon-lite 1.2.6
- vmag 1.2.7
- vmagazine-lite 1.3.5
- vmagazine-news 1.0.5
- zigcy-baby 1.0.6
- zigcy-cosmetics 1.0.5
- zigcy-lite 2.0.9
Connectors en què s'ha detectat la substitució de la porta posterior:
- accesspress-anonymous-post 2.8.0 2.8.1 1
- accesspress-custom-css 2.0.1 2.0.2
- accesspress-custom-post-type 1.0.8 1.0.9
- accesspress-facebook-auto-post 2.1.3 2.1.4
- accesspress-instagram-feed 4.0.3 4.0.4
- accesspress-pinterest 3.3.3 3.3.4
- accesspress-social-counter 1.9.1 1.9.2
- accesspress-social-icons 1.8.2 1.8.3
- accesspress-social-login-lite 3.4.7 3.4.8
- accesspress-social-share 4.5.5 4.5.6
- accesspress-twitter-auto-post 1.4.5 1.4.6
- accesspress-twitter-feed 1.6.7 1.6.8
- ak-menu-icons-lite 1.0.9
- ap-companion 1.0.7 2
- ap-contact-form 1.0.6 1.0.7
- ap-custom-testimonial 1.4.6 1.4.7
- ap-mega-menú 3.0.5 3.0.6
- ap-pricing-tables-lite 1.1.2 1.1.3
- apex-notification-bar-lite 2.0.4 2.0.5
- cf7-store-to-db-lite 1.0.9 1.1.0
- comments-disable-accesspress 1.0.7 1.0.8
- easy-side-tab-cta 1.0.7 1.0.8
- everest-admin-theme-lite 1.0.7 1.0.8
- everest-coming-soon-lite 1.1.0 1.1.1
- everest-comment-rating-lite 2.0.4 2.0.5
- everest-counter-lite 2.0.7 2.0.8
- everest-faq-manager-lite 1.0.8 1.0.9
- everest-gallery-lite 1.0.8 1.0.9
- everest-google-places-reviews-lite 1.0.9 2.0.0
- everest-review-lite 1.0.7
- everest-tab-lite 2.0.3 2.0.4
- everest-timeline-lite 1.1.1 1.1.2
- inline-call-to-action-builder-lite 1.1.0 1.1.1
- Product-slider-for-woocommerce-lite 1.1.5 1.1.6
- smart-logo-showcase-lite 1.1.7 1.1.8
- missatges de desplaçament intel·ligent 2.0.8 2.0.9
- smart-scroll-to-top-lite 1.0.3 1.0.4
- total-gdpr-compliance-lite 1.0.4
- total-equip-lite 1.1.1 1.1.2
- ultimate-author-box-lite 1.1.2 1.1.3
- ultimate-form-builder-lite 1.5.0 1.5.1
- woo-badge-designer-lite 1.1.0 1.1.1
- wp-1-slider 1.2.9 1.3.0
- wp-blog-manager-lite 1.1.0 1.1.2
- wp-comment-designer-lite 2.0.3 2.0.4
- wp-cookie-user-info 1.0.7 1.0.8
- wp-facebook-review-showcase-lite 1.0.9
- wp-fb-messenger-button-lite 2.0.7
- wp-floating-menu 1.4.4 1.4.5
- wp-media-manager-lite 1.1.2 1.1.3
- wp-popup-banners 1.2.3 1.2.4
- wp-popup-lite 1.0.8
- wp-product-gallery-lite 1.1.1
Font: opennet.ru