攻撃者が複数の人気WordPressプラグインのコードを乗っ取り、最大120万サイトに隠しバックドアと不正管理者アカウントを仕込んでいたことが明らかになりました。
このサプライチェーン攻撃は、6月13日にオランダのマルウェア調査会社Sansecが詳細を公表したもので、WordPressベンダーAwesome Motiveが提供するプラグイン「OptinMonster」「TrustPulse」「PushEngage」の3製品に配信されるJavaScriptが改ざんされていました。
悪意あるコードは被害サイトのサーバー上に存在するのではなく、Awesome Motive自身の配信ネットワークを経由して送り込まれていました。スクリプトを読み込むすべてのサイトが、改ざんされたファイルを配信元から直接取得していたことになります。
ペイロードはログイン中の管理者がページを読み込むまで休眠状態を保つため、今のところ一般訪問者への影響はありません。
WordPressバックドアプラグインについて詳しく読む:プラグインに偽装する新たなWordPressマルウェア
改ざんスクリプトから不正管理者への流れ
管理者が検出されると、スクリプトが即座に動作を開始します。新たな管理者アカウントを作成し、自身の存在を隠蔽するバックドアプラグインをインストールして制御を維持したうえで、取得した認証情報を正規のチャットサービス「tidio.com」に酷似したサイトへ送信します。
OptinMonsterだけで100万サイト以上に導入されており、TrustPulseとPushEngageを加えた合計が前述の規模に達しています。攻撃者は侵害した各サイトを実質的に掌握している状態にあるため、Sansecは一般訪問者への悪用が後続して発生する可能性が高いと警告しています。
同社はこのキャンペーンを、2024年のPolyfill攻撃になぞらえています。Polyfill攻撃では、単一の上流ファイルへの汚染が何千もの下流サイトに影響を与えました。
攻撃者の侵入経路は依然として不明です。同社によると、Awesome Motive自身のサーバー、そのCDNアカウント、またはその背後にあるBunnyNetネットワーク(可能性は低いとされる)が侵入口となった可能性があるとしています。
短期間の露出ウィンドウ
露出期間は短かったとみられます。Sansecによると、改ざんされたOptinMonsterとTrustPulseのコードは6月12日深夜に約30分間確認されたのち消滅しており、ベンダー側が異常に気付いたことをうかがわせています。ただし、PushEngageのスクリプトは6月13日時点でもマルウェアを配信し続けていました。
侵害が確認されたのは3つのプラグインのみですが、Awesome Motiveの影響範囲はさらに広く、以下のような製品を通じて数千万ものサイトに及んでいます。
-
WPForms:600万以上のインストール数
-
All in One SEO:約300万サイトで導入
-
MonsterInsights:約200万サイトで導入
これらへの被害は確認されていませんが、Sansecは、Awesome Motiveのプラグインを使用しているすべてのユーザーに対し、見覚えのない管理者アカウントやtidio[.]ccへのトラフィックがないか監視し、いずれかが確認された場合は速やかに対処するよう呼びかけています。
InfosecurityはAwesome Motiveにコメントを求めて連絡を取っています。
翻訳元: https://www.infosecurity-magazine.com/news/wordpress-plugin-supply-chain/
