خرید افزونه های محبوب و تزریق بدافزار در آن ها روندی است که به تازگی به طور گسترده توسط مهاجمان سایبری مورد استفاده قرار می گیرد. این اتفاق به تازگی با فروش افزونه ی معروف کپچای وردپرس رخ داده است و خریدار این افزونه، از آن برای دانلود و نصب درب پشتی استفاده کرده است.
محققان اشاره کردند این افزونه با ۳۰۰ هزار دانلود فعال، در بازاری خارج از فروشگاه رسمی وردپرس در حال انتشار است. محققان پس از بررسی کد منبع افزونهی کپچا متوجه وجود یک درب پشتی شدند. با استفاده از این بدافزار، مهاجمان میتوانند به وبسایتهای وردپرس بدون نیاز به احراز هویت، دسترسی مدیریتی داشته باشند.
این افزونه طوری پیکربندی شده که یک نسخهی جدید از درب پشتی را از آدرس https[://]simplywordpress[dot]net/captcha/captcha_pro_update.php واکشی میکند و در این فرآیند از کاربر هیچ مجوزی درخواست نمیشود. این درب پشتی برای ایجاد یک نشست ورود برای مهاجم طراحی شده است که دارای امتیازات سطح بالا نیز خواهد بود. مهاجم با استفاده از این افزونه و بدون نیاز به انجام احراز هویت، میتواند به هریک از ۳۰۰ هزار وبسایتی که تحت تاثیر قرار گرفتهاند دسترسی داشته باشد. هنوز هدف مهاجم از نصب این درب پشتی مشخص نشده است ولی وقتی فردی هزینهای را برای خرید یک افزونهی محبوب پرداخت میکند مسلما اهداف و انگیزههایی پشت این کار وجود دارد.
محققان به دنبال شناسایی خریدار افزونه بوده و متوجه شدند درب پشتی که این افزونه دانلود میکند بر روی دامنهی simplywordpress[dot]net میزبانی میشود و توسط فردی با نام Stacy Wellington و آدرس ایمیل scwellington[at]hotmail.co.uk ثبت شده است. با اجرای جستجوی whois معکوس محققان متوجه شدند که دامنههای متعدد دیگری نیز با نام این فرد ثبت شده است.
نکتهی جالبی که وجود دارد این است که تمامی این دامنهها برای میزبانی کدهای درب پشتی رزرو شدهاند. وردپرس به همراه محققان امنیتی در تلاش است تا نسخههای تحت تاثیر قرار گرفته را وصله کرده و نگذارد نویسنده این افزونه را بهروزرسانی کند. بنابراین به مدیران وبسایتها اکیدا توصیه میشود تا افزونهی کپچای خود را به نسخهی قانونی و رسمی ۴.۴.۵ بهروزرسانی کنند.