Có tới 47.337 plugin độc hại đã được phát hiện trên 24.931 trang web duy nhất, trong đó 3.685 plugin được bán trên các thị trường hợp pháp, thu về cho những kẻ tấn công 41.500 đô la doanh thu bất hợp pháp.
Phát hiện này đến từ một công cụ mới có tên YODA nhằm phát hiện các plugin WordPress giả mạo và truy tìm nguồn gốc của chúng, theo một nghiên cứu kéo dài 8 năm được thực hiện bởi một nhóm các nhà nghiên cứu từ Viện Công nghệ Georgia.
“Những kẻ tấn công đã mạo danh tác giả của plugin lành tính và lây lan phần mềm độc hại bằng cách phân phối các plugin vi phạm bản quyền”, các nhà nghiên cứu cho biết trong một bài báo mới có tiêu đề “Các plugin sai lầm mà bạn phải có”.
“Số lượng các plugin độc hại trên các trang web đã tăng đều đặn trong những năm qua và hoạt động độc hại đạt đỉnh điểm vào tháng 3 năm 2020. Thật đáng kinh ngạc, 94% các plugin độc hại được cài đặt trong 8 năm đó vẫn còn hoạt động cho đến ngày nay.”
Nghiên cứu quy mô lớn đòi hỏi phải phân tích các plugin WordPress được cài đặt trong 410.122 máy chủ web duy nhất từ năm 2012, phát hiện ra rằng các plugin có giá tổng cộng 834.000 đô la đã bị lây nhiễm sau khi triển khai bởi các tác nhân đe dọa.
YODA có thể được tích hợp trực tiếp vào một trang web và nhà cung cấp dịch vụ lưu trữ máy chủ web hoặc được triển khai bởi một thị trường plugin. Ngoài việc phát hiện các tiện ích bổ sung ẩn và có phần mềm độc hại gian lận, khuôn khổ cũng có thể được sử dụng để xác định nguồn gốc của plugin và quyền sở hữu của nó.
Nó đạt được điều này bằng cách thực hiện phân tích các tệp mã phía máy chủ và siêu dữ liệu được liên kết (ví dụ: nhận xét) để phát hiện các plugin, tiếp theo là thực hiện phân tích cú pháp và ngữ nghĩa để gắn cờ hành vi độc hại.
Mô hình ngữ nghĩa chiếm một loạt các dấu hiệu đỏ, bao gồm web shell, chức năng chèn bài đăng mới, thực thi mã được bảo vệ bằng mật khẩu, spam, làm xáo trộn mã, SEO blackout, trình tải xuống phần mềm độc hại, quảng cáo độc hại và công cụ khai thác tiền điện tử.
Một số phát hiện đáng chú ý như sau:
3.452 plugin có sẵn trên các thị trường plugin hợp pháp đã tạo điều kiện cho việc đưa vào thư rác 40.533 plugin đã bị nhiễm sau khi triển khai trên 18.034 trang web Các plugin không có hiệu lực – plugin hoặc chủ đề WordPress đã bị giả mạo để tải xuống mã độc trên máy chủ – chiếm 8.525 trong tổng số các tiện ích bổ sung độc hại, với khoảng 75% plugin vi phạm bản quyền lừa các nhà phát triển trong số 228.000 đô la doanh thu
“Sử dụng YODA, chủ sở hữu trang web và nhà cung cấp dịch vụ lưu trữ có thể xác định các plugin độc hại trên máy chủ web; các nhà phát triển plugin và thị trường có thể kiểm tra plugin của họ trước khi phân phối”, các nhà nghiên cứu chỉ ra.
.
