• Fonte de Spam: Social Media Widget para WordPress

    Pesquisadores do Sucuri descobriram que a versão 4.0 do WordPress Social Media Widget, também conhecido como social-media-widget, tem injetado propaganda como spam nos referidos sites. É altamente recomendado que qualquer indivíduo utilizando esse widget --- que já tem mais de 900.000 usuários ativos --- remova ou desabilite o mesmo o mais rápido possível. Os pesquisadores de segurança digital descobriram esse código malicioso que adiciona spam do tipo "Pay Day Loan" nos sites que rodam esse plugin. Os mesmos acreditam que esse código malicioso foi adicionado no final de Março deste ano corrente, exatamente quando a versão 4.0 foi lançada no repositório de plugins do portal Wordpress.org.


    O plugin, que teve os mantenedores alterados em Janeiro de 2013, já apresentava comportamento suspeito no mês passado, mas o malware adicionado na versão 4.0 se mostrou mais óbvio, ao ler e executar um script em PHP de um site de terceiros. O código de spam injetado nesse plugin foi até arrumado para parecer mais compacto (e talvez não se destacar tanto no código total do plugin).

    Atualização ou Remoção

    Uma versão 4.0.1 desse plugin foi publicada e parece estar livre desse malware, porém os mantenedores do Wordpress.org disseram ter removido esse widget do repositório e publicaram uma atualização para os usuários desse widget, permitindo assim remover o mesmo da instalação do CMS. O conselho dado pela equipe de manutenção do Wordpress.org é que os usuários procurem outro plugin similar em seu repositório para substituir o social-media-widget, mesmo sabendo que eles irão trabalhar em conjunto com os mantenedores desse plugin para garantir que todos os problemas sejam resolvidos. Enquanto isso, o acesso a este plugin via portal fica indisponível.

    Ainda é incerto dizer como esse código foi adicionado no plugin. Os pesquisadores do Sucuri notaram que as alterações foram feitas no núcleo do próprio plugin e sugerem que possa ter sido "o próprio autor, ou suas credenciais estão comprometidas". Eles também tem preocupações referentes ao processo de funcionamento desse repositório, mesmo sabendo que as equipes relacionadas resolveram esse problema bem rápido. Eles também suspeitam que esse possa ser um novo vetor de ataque e querem saber o que pode ser feito para prevenir a exploração dessa falha.

    Saiba Mais:

    - Heise Online: Social Media Widget for WordPress a source of spam (em Inglês)