YODA обнаружил 47 337 вредоносных плагинов на 24 931 уникальных сайтов. Из общего числа вредоносных плагинов 3 685 были проданы на проверенных торговых площадках и принесли злоумышленникам 41 500 долларов США. Инструмент предназначен для обнаружения вредоносных плагинов WordPress и отслеживания их источника. Это возможно благодаря анализу файлов кода на стороне сервера и связанных с ними метаданных для обнаружения плагинов. После обнаружения плагина запускаются синтаксический и семантический анализ для выявления вредоносного поведения.
YODA помог группе исследователей из Технологического института Джорджии получить результаты исследования, которое проводилось в течение 8 лет.
«Злоумышленники распространяли вредоносное ПО, выдавая себя за авторов полезных и безопасных плагинов.», – сообщают исследователи в своей новой работе.
По словам исследователей, количество вредоносных плагинов на веб-сайтах неуклонно росло на протяжении многих лет, и пик вредоносной активности пришелся на март 2020 года. Их шокировал тот факт, что 94% вредоносных плагинов, установленных за 8 лет, активны и по сей день.
В ходе масштабного исследования были проанализированы плагины WordPress, установленные на 410 122 уникальных веб-серверах, начиная с 2012 года. Исследователи обнаружили, что плагины общей стоимостью 834 000 долларов были заражены злоумышленниками после развертывания.
YODA может быть интегрирован непосредственно в сайт, веб-сервер хостинг-провайдера или развернут на маркетплейсе плагинов. Семантическая модель инструмента позволяет обнаруживать веб-оболочки, защищенное паролем выполнение внедренного кода, запутывание кода, загрузчики вредоносного ПО, отключение SEO и майнеры криптовалюты.
«Используя наш инструмент, владельцы сайтов и хостинг-провайдеры могут выявлять вредоносные плагины на веб-сервере, а разработчики плагинов и торговые площадки могут проверять свои плагины перед продажей, – отметили исследователи.
Напомним, не так давно десятки тысяч сайтов были атакованы хакерами , которые использовали уязвимость WordPress плагина Tatsu Builder. Первые массированные атаки начались 10 мая 2022 года и достигли своего пика через четыре дня.
Источник: SecurityLab