حمله supply-chain به افزونه‌های وردپرس: تزریق بک‌دور به هزاران سایت

طی یک حمله supply-chain که اخیرا اتفاق افتاد، افزونه‌های وردپرس نصب شده روی حدود 36,000 وب‌سایت به وسیله کدهای مخرب آلوده شده‌اند. این حمله به هکرها اجازه می‌دهد تا یک حساب کاربری با سطح دسترسی ادمین در سایت‌های آسیب‌دیده ایجاد کنند و کنترل کامل بر این سایت‌ها به دست آورند. محققان امنیتی از شرکت Wordfence در روز دوشنبه از این حمله خبر دادند.

حمله به افزونه‌های محبوب وردپرس

این حمله به افزونه‌های محبوب وردپرس صورت گرفته و پنج افزونه مختلف تاکنون به عنوان آسیب‌دیده شناسایی شده‌اند. مهاجمان با افزودن کدهای مخرب به نسخه‌های جدید این افزونه‌ها در مخزن رسمی WordPress.org، به طور خودکار حساب‌های کاربری مدیریتی (با سطح دسترسی ادمین) ایجاد کرده‌اند که به آن‌ها کنترل کامل بر وب‌سایت‌های قربانی را می‌دهد. این به‌روزرسانی‌های آلوده همچنین شامل محتوای مخربی هستند که رتبه‌بندی سئو سایت‌های قربانی را تحت تأثیر قرار می‌دهد.

افزونه‌های آسیب‌دیده:

تاکنون، پنج افزونه شناخته‌شده که به این حمله آلوده شده‌اند عبارتند از:

1. Social Warfare: با بیش از 30,000 نصب فعال

2. BLAZE Retail Widget: با تنها 10 نصب فعال

3. Wrapper Link Elementor: با حدود 1,000 نصب فعال

4. Contact Form 7 Multi-Step Addon: با 700 نصب فعال

5. Simply Show Hooks: با حدود 4,000 نصب فعال

این افزونه‌ها در بین هزاران وب‌سایت استفاده می‌شوند و به دلیل محبوبیت زیادشان، هدف مناسبی برای حملات supply-chain بوده‌اند.

کد مخرب ساده اما مؤثر

محققان Wordfence می‌گویند که کدهای مخرب تزریقی به این افزونه‌ها از پیچیدگی زیادی برخوردار نیستند و حتی شامل توضیحات متنی هستند که روند کد را برای هر کسی که آن را بررسی می‌کند، شفاف می‌سازد! اولین نمونه از این حملات در 21 ژوئن 2024 شناسایی شده و مهاجمان تا روز دوشنبه و حتی پنج ساعت قبل از انتشار گزارش به افزودن به‌روزرسانی‌های مخرب ادامه می‌دادند.

حملات زنجیره تأمین: یکی از مؤثرترین روش‌های آلوده‌سازی

در طول دهه گذشته، حملات زنجیره تأمین به عنوان یکی از مؤثرترین روش‌ها برای نصب بدافزارها شناخته شده‌اند. مهاجمان با آلوده کردن نرم‌افزارها در مبدأ آن‌ها، قادرند تا بدون نیاز به اقدامات اضافی کاربران، دستگاه‌های زیادی را آلوده کنند. کاربران فقط به‌روزرسانی یا نصب فایل‌های مورد اعتماد را انجام می‌دهند، در حالی که در واقع این بدافزار است که به سیستم‌های آن‌ها نفوذ می‌کند.

یک نمونه از حملات مشابه، زمانی بود که در سال جاری میلادی یک بک‌دور به کتابخانه منبع‌باز (Open Source) XZ Utils تزریق شد. خوشبختانه، این بک‌دور تنها یک یا دو هفته قبل از انتشار عمومی شناسایی شد و فاجعه بزرگی را به دنبال نداشت. حملات supply-chain دیگری نیز در سال‌های اخیر گزارش شده‌اند که نشان‌دهنده گستردگی و تأثیر این روش‌ها است.

تجزیه و تحلیل افزونه‌های آلوده

محققان Wordfence در حال حاضر در حال بررسی بیشتر کدهای مخرب و چگونگی نفوذ آن‌ها به مخزن رسمی افزونه‌های وردپرس هستند. در این مرحله مشخص نیست که مهاجمان چگونه به این افزونه‌ها دسترسی پیدا کرده و آن‌ها را آلوده کرده‌اند. از طرفی برخی از نمایندگان WordPress، BLAZE و Social Warfare به درخواست‌ها برای توضیح پاسخ نداده‌اند و اطلاعات تماس توسعه‌دهندگان سه افزونه دیگر نیز در دسترس نبوده است.

ایجاد حساب کاربری مدیریتی با هدف تخریب

بررسی‌های اولیه نشان می‌دهد که این کدهای مخرب تلاش می‌کنند تا یک حساب کاربری مدیریتی جدید با سطح دسترسی کامل ایجاد کنند و جزئیات این حساب را به سروری که تحت کنترل مهاجمان است، ارسال می‌کنند. همچنین به نظر می‌رسد که کد مخرب، جاوااسکریپت‌های مخربی را به Footer وب‌سایت‌های قربانی تزریق کرده است که موجب نمایش هرزنامه‌های (Spam) سئو در سراسر سایت می‌شود.

نکات مهم برای کاربران

به همه کاربرانی که یکی از این افزونه‌ها را نصب کرده‌اند، توصیه می‌شود که فوراً افزونه‌های مشکوک را حذف کرده و سایت خود را برای وجود حساب‌های کاربری مدیریتی جدید و محتوای غیرمجاز با دقت بررسی کنند. سایت‌هایی که از ابزار اسکنر امنیتی Wordfence استفاده می‌کنند، در صورت نصب یکی از این افزونه‌های آلوده، هشدار دریافت خواهند کرد.

علاوه بر این، Wordfence به کاربران پیشنهاد کرده است که اتصال‌های سایت خود را به آی‌پی 94.156.79.8 بررسی کرده و همچنین از وجود حساب‌های کاربری با نام‌های کاربری Options یا PluginAuth اطمینان حاصل کنند.

حملات supply-chain: چالش‌های امنیتی در دنیای دیجیتال

حملات زنجیره تأمین یکی از پیچیده‌ترین و خطرناک‌ترین تهدیدها در دنیای امنیت سایبری امروز به شمار می‌روند. این نوع حملات به دلیل تأثیرگذاری گسترده و کم‌بودن نشانه‌های اولیه نفوذ، می‌توانند به سرعت در سیستم‌های بزرگ و سازمان‌ها گسترش یابند. روش مهاجمان در این نوع حملات این است که کدهای مخرب را در نرم‌افزارهای معتبر و مورد اعتماد تزریق می‌کنند و سپس کاربران ناآگاه با اجرای به‌روزرسانی‌ها یا نصب‌های جدید، به طور غیرمستقیم سیستم خود را به بدافزار آلوده می‌کنند.

در حمله اخیر به افزونه‌های وردپرس، مهاجمان توانسته‌بودند کدهای مخرب خود را به به‌روزرسانی‌های رسمی افزونه‌های پرکاربرد تزریق کنند. از آنجا که کاربران وردپرس به طور مرتب افزونه‌های خود را از مخزن رسمی WordPress.org به‌روزرسانی می‌کنند، به‌روزرسانی‌های آلوده به سرعت بر روی هزاران وب‌سایت نصب شده و بدین ترتیب مهاجمان کنترل زیادی بر روی این وب‌سایت‌ها به دست آورده‌اند.

اهمیت امنیت supply-chain در نرم‌افزارهای منبع باز

نرم‌افزارهای منبع باز به دلیل ویژگی‌های شفافیت و قابلیت دسترسی به کد منبع، مورد علاقه توسعه‌دهندگان و سازمان‌ها هستند. اما همین ویژگی‌ها می‌توانند بستر مناسبی برای حملات supply-chain باشند. به دلیل اینکه بسیاری از نرم‌افزارهای منبع باز توسط جامعه‌ای از توسعه‌دهندگان مدیریت می‌شوند، ممکن است نقطه‌ضعف‌هایی وجود داشته باشد که مهاجمان بتوانند از آن‌ها بهره‌برداری کنند.

توصیه‌های امنیتی برای جلوگیری از حملات supply-chain

برای جلوگیری از این نوع حملات، توسعه‌دهندگان و مدیران وب‌سایت‌ها باید چندین اقدام احتیاطی را در نظر بگیرند:

1. بررسی منظم امنیتی: باید به طور مداوم از ابزارهای امنیتی مانند اسکنرهای آسیب‌پذیری استفاده کرد تا هرگونه تغییر مشکوک در سایت یا افزونه‌ها شناسایی شود.

2. به‌روزرسانی افزونه‌ها از منابع معتبر: همواره باید از به‌روزرسانی‌های رسمی و معتبر استفاده کرد و قبل از نصب هر افزونه‌ای از اعتبار آن اطمینان حاصل نمود.

3. استفاده از احراز هویت دو مرحله‌ای: برای امنیت بیشتر حساب‌های کاربری مدیریتی، بهتر است از احراز هویت دو مرحله‌ای استفاده شود تا احتمال نفوذ مهاجمان کاهش یابد.

4. نظارت بر ترافیک سایت: باید به طور منظم ترافیک سایت را بررسی کرد و هرگونه اتصال مشکوک یا غیرمجاز را شناسایی و مسدود نمود.

نتیجه‌گیری و مخلص کلام!

حمله supply-chain به افزونه‌های وردپرس بار دیگر نشان داد که حتی پلتفرم‌های منبع‌باز و محبوب مانند وردپرس نیز از تهدیدات سایبری در امان نیستند. کاربران وردپرس باید همیشه هوشیار باشند و از اقدامات امنیتی مناسب برای حفاظت از سایت‌های خود استفاده کنند. این حمله اخیر که به طور گسترده افزونه‌های محبوب را هدف قرار داده، نشان‌دهنده نیاز مبرم به نظارت بیشتر و تقویت امنیت زنجیره تأمین در نرم‌افزارهای منبع باز است.