A study on malicious plugins in WordPress Marketplaces
2022/08/30 SecurityAffairs — ジョージア工科大学の研究チームは、40万件以上の Web サーバーのバックアップを分析し、24,931件の WordPress サイトにインストールされた、47,337件の悪質なプラグインを見つけ出した。専門家たちは、そのために YODA という自動フ解析レームワークを開発し、プロダクション Web サーバにおける CMS プラグインの進化を、2012年までさかのぼって調査し、悪意のあるプラグインを検出した。
WordPress Web サイト上の悪意のプラグイン数は年々増加し、悪意のアクティビティは 2020年3月にピークに達した。
研究者たちは、各 Web における悪意の要因証明するためにクロス Web サイト検証を採用し、また、正当なマーケット/無効化されたマーケット/注入されたプラグインのカテゴリが、相互に排他的であることを指摘した。
彼らは、「YODA は、24,931件の Web サイトで、47,337件の悪意のプラグインを発見した。このうち、正規のプラグイン・マーケット・プレイスで販売されている、3,685件の悪質なプラグインに対して、$41.5K が費やされていた。海賊版プラグインは、開発者から $228K の収益をだまし取っていた。導入後の攻撃により、それまで無害だった $834K 相当のプラグインが、マルウェアに感染していった。YODA は、それらの悪意のプラグインの 94% 以上が、現在も有効であることを示しており、修復作業に関する情報を提供している」と述べている。
研究者たちは、人気のプラグイン・マーケット・プレイスで販売されている、大半の悪意のプラグインが、回避や難読化の技術を実装していないことに気づいた。
脅威アクターたちは、人気の無料プラグインをコードベースで購入し、悪意のコードを追加し、ユーザーが自動アップデートを適用するのを待ち伏せる。また、脅威アクターたち者が、正規の善良なプラグイン作者になりすまし、海賊版プラグインを介してマルウェアを拡散させるケースも見つかった。
研究者たちは、「Web サーバ上の1つの悪意のプラグインが、複数の良性プラグインに感染し、動作を複製する “プラグイン間感染” も報告している。
Boffins の調査では、”try before you buy” モデルで、プラグインの試用を提供している、いくつかのマーケット・プレイスの情報が報告されている。その結果として、Nulled マーケット・プレイスとも呼ばれる、海賊版のトライアル・プラグイン・マーケットプレイスが見つかっている。Nulled プラグインとは、本来は有償プラグインを海賊版にして、Nulled マーケット・プレイスで無償配布することを指す。
専門家たちは、この調査結果を CodeGuard と共有し、CodeGuard により特定された攻撃の是正への取り組みが始まっている。しかし、インストールされたプラグインの、サニタイズに取り組んでいる Web サイト所有者は、わずか 10% に過ぎない。
WordPress のプラグインは怖いですね。お隣のキュレーション・チームがいつも言っていますが、かなりの頻度で大量の脆弱性が報告されているとのことです。すべてを拾っても、ノイズになりかねないので、騒ぎが大きくなったものだけを選んで、レポートに取り込んでいるそうです。このブログも WordPress ですが、セキュリティ重視で、プラグインを厳しく制限している、[.com] サイトから出ないつもりでいます。デザインが制約され、無骨なサイトになってしまいますが、安全が一番です。よろしければ、WordPress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.