Fiese Attacken durch gekaperte WordPress-Plugins auf dem Vormarsch
Eine Supply Chain Attack ist im Zusammenhang mit Software ein bereits seit längerem bekanntes Angriffsmuster, bei dem ein Krimineller das Vertrauen ausnutzt, das der Anwender zu einem bekannten oder sogar bereits installierten Programm hat. In der Praxis sieht das dann so aus: Die Kriminellen verschaffen sich Zugriff auf die Infrastruktur eines Software-Herstellers und schleusen die Malware entweder direkt in den Code der Anwendung ein oder in eines der anstehenden Updates. Die Verbreitung der Schadsoftware erfolgt anschließend über die Kanäle des Unternehmens. Ein Beispiel für eine solche Attacke war die Infektion des beliebten Tools CCleaner im vergangenen Jahr.
Nun hat die kriminelle Szene WordPress-Plugins als praktische Transportmittel für ihre Malware entdeckt. In einem Blog-Beitrag führt der Security-Hersteller WordFence vier Fälle aus dem letzten halben Jahr auf, in denen Plugins für die weltweit führende Blog-Software im Rahmen einer Supply Chain Attack mit Schadsoftware infiziert wurden. Das Spektrum reicht von Hintertüren über ein Krypto-Mining-Programm bis hin zu einer Spam-Software. Im Unterschied zum Angriff auf CCleaner verschaffen sich die Malware-Produzenten jedoch nicht illegal Zugriff auf die Software, sondern kaufen sie den Autoren einfach ab und nutzten die Update-Funktion der Plugins, um ihre Schadsoftware zu verbreiten.
Kriminelle bieten Support
Von diesen Intentionen erfahren die Verkäufer natürlich nichts. Stattdessen bieten die Interessenten an, dass sie sich um die weitere Entwicklung und die Anpassung an neue WordPress-Versionen kümmern und auch den Support übernehmen. Für die Plugin-Autoren ist das ein verlockendes Angebot: Die große Mehrheit dieser Programme ist entweder kostenlos oder wird unter einer Open-Source-Lizenz vertrieben. Die Entwickler verdienen oftmals keinen Cent mit ihrer Arbeit. Und jetzt kommt ein vermeintlich seriöses Unternehmen und bietet ihnen Geld für ihr Produkt.
Für die WordPress-Anwender ist diese Entwicklung fatal. Größere Unternehmen warten ihre Sites regelmäßig und führen Tests durch, bevor sie neue Software installieren. Bei kleineren Firmen und privaten Websites erfolgt die Wartung jedoch in vielen Fällen nur in größeren zeitlichen Abständen, auf Tests wird mangels Ressourcen meist verzichtet. Hinzu kommt, dass die WordPress-Anwender oftmals die automatische Update-Funktion aktivieren. In diesem Fall haben Angreifer ein besonders leichtes Spiel.
WordFence empfiehlt, Plugins sorgfältig auszuwählen und die eigene Site regelmäßig auf Malware zu scannen. Zudem sollten Betreiber von Websites regelmäßig überprüfen, ob die eigene Site oder ihre IP-Adresse in einer der bekannten Blacklists erscheinen, die beispielsweise Spam-Versender auflisten. Besondere Vorsicht sei geboten, wenn Plugins aus dem WordPress-Verzeichnis verschwinden oder nicht mehr weiterentwickelt werden. Denn diese Programme sind für Malware-Autoren besonders interessant.