偽造的 jQuery Migrate 插件生成惡意文件感染 WordPress 網(wǎng)站
安全研究人員 Denis Sinegubko 和 Adrian Stoian 近日發(fā)現(xiàn),假冒的 jQuery Migrate 插件通過(guò)在其中包含的混淆代碼來(lái)加載惡意軟件從而注入了數(shù)十家網(wǎng)站。
這些被加載的文件被命名為 jquery-migrate.js 和 jquery-migrate.min.js,雖然從命名上不會(huì)察覺(jué)到這兩個(gè)文件有什么問(wèn)題,但實(shí)際上這兩個(gè)文件是用于加載惡意軟件的。
截至目前,有超過(guò) 720 萬(wàn)個(gè)網(wǎng)站都在使用 jQuery Migrate 插件,這也解釋了為什么攻擊者會(huì)用這個(gè)知名插件的名字來(lái)偽裝他們的惡意軟件。
為了使用戶更難檢測(cè)到這一惡意行為,這些惡意文件會(huì)取代這些網(wǎng)站上存在于 ./wp-includes/js/jquery/ 目錄中的原始合法文件,這也是 WordPress 保存 jQuery 文件的目錄。
這兩個(gè)名為 jquery-migrate.js 和 jquery-migrate.min.js 的文件具有混淆代碼,在代碼中它們會(huì)進(jìn)一步加載了一個(gè)神秘的 analytics.js 文件,這個(gè)文件里面也包含惡意代碼。目前這次攻擊產(chǎn)生的影響規(guī)模范圍尚未確定。
該代碼會(huì)引用 /wp-admin/user-new.php,這是 WordPress 用于創(chuàng)建新用戶的管理頁(yè)面。此外,代碼還訪問(wèn)了 WordPress 用來(lái)執(zhí)行跨站點(diǎn)請(qǐng)求偽造(CSRF)保護(hù)的 _wpnonce_create-user 變量。
一般來(lái)說(shuō),能夠獲取或設(shè)置 CSRF 令牌,將使攻擊者有能力代表用戶進(jìn)行偽造請(qǐng)求。在 WordPress 網(wǎng)站上注入這樣的腳本,可以讓攻擊者進(jìn)行各種惡意活動(dòng),包括從騙取信用卡到將用戶重定向到詐騙網(wǎng)站等。
如果有用戶正在網(wǎng)站上使用 WordPress 以及知名的 jQuery Migrate 插件,則最好進(jìn)行一次徹底的安全審核,以免誤安裝了這個(gè)同名的惡意插件,除此之外還需要對(duì)網(wǎng)站活動(dòng)進(jìn)行檢查,以確實(shí)是否存在惡意活動(dòng)跡象等異常情況。
本文轉(zhuǎn)自O(shè)SCHINA
本文標(biāo)題:偽造的 jQuery Migrate 插件生成惡意文件感染 WordPress 網(wǎng)站
本文地址:https://www.oschina.net/news/135655/fake-jquery-files-infect-wordpress-sites
