Mais de 30 plug-ins do WordPress foram secretamente capturados durante a aquisição de seu editor. No código destes, encontramos uma porta dos fundos. Centenas de milhares de sites estão expostos a manipulação maliciosa.
Mais de 30 plug-ins do WordPress foram infectados por um backdoor. Todos os plug-ins comprometidos fazem parte do pacote EssentialPlugin, que oferece várias ferramentas para enriquecer um site WordPress, incluindo controles deslizantes, galerias, extensões WooCommerce, utilitários de SEO e temas.
Após extensa investigação, Austin Ginder, fundador do host WordPress Anchor Hosting, descobriu que o backdoor foi contrabandeado durante a aquisição da empresa WP Online Supportque deu origem ao EssentialPlugin, em agosto de 2025. Suas investigações demonstraram que o backdoor foi encontrado em todas as soluções da suíte, sem exceção.
Leia também: Mais de 4 milhões de sites em perigo – uma falha grave afeta um plugin do WordPress
Instruções recebidas do blockchain
Como demonstrou Austin Ginder, o código malicioso permaneceu inativo durante meses. Só recentemente ele acordou. Uma vez acionado, o código entra em contato discretamente com a infraestrutura externa para baixar um arquivo malicioso. É este arquivo o responsável porinjetar malware no arquivo de configuração central do WordPress.
Uma vez instalado com sucesso no sistema, o vírus pode receber instruções para gerar páginas de spam, injetar redirecionamentos no site ou exibir conteúdo falso. Em outras palavras, todos os visitantes de sites que instalaram um plugin EssentialPlugin provavelmente serão enganados.
Para passar despercebidos, os indivíduos por trás do ataque cibernético estão usando a cadeia de blocos Ethereum. Inspirados por vários grupos de hackers norte-coreanos, eles escondem o endereço do seu servidor de pedidos em um contrato inteligente na rede descentralizada. O uso do blockchain protege hackers contra possíveis ofensivas das autoridades. Na verdade, não é possível excluir conteúdo do blockchain. Esta técnica é conhecida como EtherHiding.
Atualização forçada
Diante dos relatos, WordPress.org reagiu rapidamente forçando uma atualização em todos os sites afetadoscortando assim a comunicação com o servidor de pedidos no blockchain. Infelizmente, o arquivo malicioso permanece oculto no site. Todos os administradores são aconselhados a excluir manualmente o arquivo que causou o ataque cibernético. Por precaução, é melhor limpar escrupulosamente todo o arquivo de configuração central do WordPress. Finalmente, os administradores afetados devem desativar e remover imediatamente qualquer plugin do pacote EssentialPlugin. Antes deste grande escândalo, o pacote EssentialPlugin tinha mais de 400.000 instalações ativas no total.
Não é incomum que plug-ins maliciosos ou simplesmente vulneráveis coloquem os usuários da Internet em perigo. No início do ano, foi descoberta uma falha crítica em um plugin do WordPress instalado em 100 mil sites. Alguns meses antes, o malware conseguiu infectar mais de 20.000 sites WordPress explorando plug-ins defeituosos.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.
Fonte :
Bip do computador