Sucuri tarafından geçen hafta yayımlanan bir rapora göre, hackerlar güncel olmayan bir WordPress eklentisini sitelere gizli arka kapılar yerleştirmek için kullanmaya başladı.
Bahsi geçen eklenti, “flashpixx” adlı geliştirici tarafından çıkarılan Eval PHP. Bu eklenti, kullanıcıların WordPress sitelerindeki sayfa ve gönderilere PHP kodu eklemelerine olanak sağlıyor ve kullanıcılar gezinirken sunucuda istenilen kodun çalışmasına yarıyor. Saldırganlar da ele geçirdikleri WordPress sitelerde çeşitli güvenlik önlemlerini aşmak ve arka kapılar bırakmak için bu eklentiden yararlandılar.
11 yıldır güncelleme almayan Eval PHP, 8.000’den fazla web sitesinde yüklü. Eylül 2022’den itibaren indirme sayısı ortalama bir veya iki iken, 30 Mart 2023’te 6.988’e çıktı. Sadece 23 Nisan 2023’te 2.140 kez indirildi ve son yedi günde 23.110 indirme sayısına ulaştı.
GoDaddy’nin alt şirketlerinden ve siber güvenlik alanında yaptığı çalışmalarla bilinen Sucuri, ele geçirilmiş bazı sitelerde kötü amaçlı kodun veritabanındaki “wp_posts” tablosuna eklendiğini tespit etti. Bu tablo, tipik bir WordPress sitesinin gönderi, sayfa ve gezinme menüsü bilgilerini içeriyor. Gelen saldırı istekleri ise Rusya’daki üç farklı IP adresinden kaynaklanıyor. Güvenlik araştırmacısı Ben Martin, kodun çok basit ve çalışma mantığının file_put_contents fonksiyonunu kullanarak sitenin kök dizininde bir PHP dosyası oluşturması şeklinde gerçekleştiğini belirtti.
Sucuri, son 6 ayda 6.000’den fazla arka kapı örneği buldu ve zararlı yazılımın veritabanına doğrudan yerleştirilmesini “yeni ve ilginç bir gelişme” olarak nitelendirdi.
