Es wurden 47.337 bösartige Plugins auf 24.931 Websites entdeckt, von denen 3.685 Plugins auf legalen Marktplätzen verkauft wurden, was den Angreifern 41.500 Dollar an illegalen Einnahmen einbrachte.
Die Ergebnisse stammen von einem neuen Tool namens YODA, das darauf abzielt, bösartige WordPress-Plugins aufzuspüren und ihre Herkunft zurückzuverfolgen. Dies geht aus einer achtjährigen Studie hervor, die von einer Gruppe von Forschern des Georgia Institute of Technology durchgeführt wurde.
„Angreifer gaben sich als gutartige Plugin-Autoren aus und verbreiteten Malware, indem sie raubkopierte Plugins verbreiteten“, so die Forscher in einem neuen Papier mit dem Titel „Mistrust Plugins You Must“.
„Die Zahl der bösartigen Plugins auf Websites ist im Laufe der Jahre stetig gestiegen, und die bösartigen Aktivitäten erreichten im März 2020 ihren Höhepunkt. Schockierenderweise sind 94 % der bösartigen Plugins, die in diesen 8 Jahren installiert wurden, auch heute noch aktiv.“
Im Rahmen der groß angelegten Untersuchung wurden WordPress-Plugins analysiert, die seit 2012 auf 410.122 Webservern installiert waren. Dabei stellte sich heraus, dass Plugins, die insgesamt 834.000 US-Dollar kosteten, nach der Installation von Bedrohungsakteuren infiziert wurden.
YODA kann direkt in eine Website und einen Webserver-Hosting-Anbieter integriert oder über einen Plugin-Marktplatz bereitgestellt werden. Das Framework kann nicht nur versteckte und mit Malware manipulierte Add-ons aufspüren, sondern auch die Herkunft und den Eigentümer eines Plug-ins identifizieren.
Dazu werden die serverseitigen Codedateien und die zugehörigen Metadaten (z. B. Kommentare) analysiert, um die Plugins aufzuspüren, und anschließend eine syntaktische und semantische Analyse durchgeführt, um bösartiges Verhalten zu erkennen.
Das semantische Modell berücksichtigt eine Vielzahl von Warnhinweisen, darunter Web-Shells, Funktionen zum Einfügen neuer Beiträge, passwortgeschützte Ausführung von injiziertem Code, Spam, Code-Verschleierung, Blackout-SEO, Malware-Downloader, Malvertising und Cryptocurrency-Miner.
Einige der anderen bemerkenswerten Ergebnisse sind folgende
3.452 Plugins, die auf legalen Plugin-Marktplätzen erhältlich sind, ermöglichten die Einschleusung von Spam
40.533 Plugins wurden nach der Installation auf 18.034 Websites infiziert
Nulled Plugins – WordPress-Plugins oder -Themes, die so manipuliert wurden, dass sie bösartigen Code auf die Server laden – machten 8.525 der gesamten bösartigen Add-ons aus, wobei etwa 75 % der raubkopierten Plugins die Entwickler um 228.000 USD an Einnahmen betrogen
„Mithilfe von YODA können Website-Besitzer und Hosting-Anbieter bösartige Plugins auf dem Webserver identifizieren; Plugin-Entwickler und -Marktplätze können ihre Plugins vor der Verbreitung überprüfen“, so die Forscher.