تزریق درب‌پشتی توسط پلاگین مخرب وردپرس در پوشش ابزار امنیتی

کمپین بدافزاری جدید که سایت‌های WordPress را هدف قرار می‌دهد، با استفاده از یک پلاگین مخرب در پوشش ابزار امنیتی، کاربران را جهت نصب و اعتماد به آن فریب می‌دهد.

بر اساس گزارش محققان Wordfence، بدافزار امکان دسترسی دائمی، اجرای کد از راه دور و تزریق جاوا اسکریپت را برای نفوذگران فراهم می‌کند و در عین حال به منظور جلوگیری از شناسایی، خود را از داشبورد افزونه پنهان می‌سازد. Wordfence نخستین بار در اواخر ژانویه 2025 هنگام پاکسازی سایت آلوده، بدافزار را کشف کرد. در بررسی‌ها، فایلی تغییر یافته با نام wp-cron.php شناسایی شد که افزونه‌ای مخرب با نام WP-antymalwary-bot.php ایجاد و به‌ صورت برنامه‌ریزی‌ شده آن را فعال می‌ساخت.  نام‌های دیگر افزونه‌های مورد استفاده در این کمپین عبارتند از: addons.php،  wpconsole.php،  wp-performance-booster.php، scr.php. اگر پلاگین حذف شود، wp-cron.php آن را به طور خودکار در بازدید بعدی از سایت دوباره ایجاد و فعال می‌کند. با توجه به عدم وجود لاگ‌های سرور برای شناسایی دقیق زنجیره آلودگی، Wordfence این فرضیه را مطرح کرد که آلودگی از طریق یک حساب میزبانی یا اعتبارنامه‌های FTP در معرض خطر رخ می‌دهد.

https://www.bleepingcomputer.com/news/security/wordpress-plugin-disguised-as-a-security-tool-injects-backdoor/