Hacker Newsによると、WordPress プラットフォームの tagDiv Composer プラグインで最近明らかになったセキュリティ上の脆弱性により、最大 9,000 件の Web サイトが侵害されたとのことです。このバグにより、ハッカーは認証なしで Web アプリケーションのソース コードに悪意のあるコードを挿入できるようになります。

Sucuriのセキュリティ研究者によると、Balada InjectorグループがtagDivテーマの脆弱性を狙ったのは今回が初めてではないという。最大のマルウェア感染は 2017 年の夏に発生し、2 つの人気 WordPress テーマである Newspaper と Newsmag がハッカーによって積極的に悪用されました。

Balada Injectorは、2022年12月にDoctor Webによって初めて検出された大規模な攻撃であり、この攻撃グループはWordPressプラグインの複数の脆弱性を悪用して、侵害を受けたシステムにバックドアを展開していました。

これらの活動の主な目的は、侵害された Web サイトにアクセスしたユーザーを偽のテクニカル サポート ページ、宝くじ当選情報、詐欺メッセージに誘導することです。 2017 年以降、100 万を超える Web サイトが Balada Injector の影響を受けています。

主な活動には、CVE-2023-3169 の脆弱性を悪用して悪意のあるコードを挿入し、バックドアのインストール、悪意のあるプラグインの追加、Web サイトを制御する管理者の作成によって Web サイトへのアクセスを確立することが含まれていました。

Sucuri は、これを、ZIP アーカイブからのプラグインのインストール プロセスを模倣してそれを実行する自動プログラムによって実行される、より複雑な攻撃の 1 つであると説明しています。 2023 年 9 月下旬に観測された一連の攻撃では、ランダム コード インジェクションを使用してリモート サーバーからマルウェアをダウンロードして起動し、標的の WordPress ウェブサイトに wp-zexit プラグインをインストールしました。