Các nhà nghiên cứu bảo mật mới đây đã phát hiện tin tặc đang tiến hành cài đặt plugin Eval PHP lên các website WordPress nhằm tạo backdoor truy cập trái phép vào website
Cụ thể, các nhà nghiên cứu bảo mật thuộc hãng bảo mật Sucuri đã cảnh báo rằng các tin tặc đang tìm mọi cách để cài đặt plugin Eval PHP vào các trang web WordPress bị xâm nhập để triển khai backdoor bất hợp pháp. Plugin Eval PHP cho phép mã PHP được chèn vào các trang và bài đăng của trang web WordPress, sau đó được thực thi mỗi khi bài đăng được mở ra.
Mã độc sử dụng chức năng file_put_contents để tạo một script PHP trong thư mục gốc của website với backdoor được chỉ định cho việc thực thi mã từ xa. Backdoors sẽ được tiêm vào cấu trúc tệp khi các kẻ đe dọa truy cập vào một trong các bài đăng hoặc trang bị nhiễm.
Các chuyên gia đã chỉ ra rằng plugin này đã không được cập nhật trong hơn một thập kỷ và số lượng cài đặt thực tế rất thấp. Từ đầu tháng 4, các tin tặc đã cài đặt plugin Eval PHP trên các trang web WordPress bị xâm nhập và sử dụng nó để tiêm mã PHP độc hại vào các trang web.
Được biết, trong suốt mười năm kể từ ngày ra mắt, plugin này hiếm khi có 1 lượt tải xuống mỗi ngày. Tuy nhiên, từ khoảng ngày 29/03/2023, các nhà nghiên cứu đã quan sát thấy số lượt tải xuống tăng đột biến lên 7.000 lượt mỗi ngày. Sau đó, mỗi ngày plugin đạt tổng số lượt tải xuống từ 3.000 đến 5.000, dẫn đến tổng số lượt tải xuống đã đạt đến 100.000 lượt.

Plugin Eval PHP vẫn tiếp tục có sẵn thông qua kho lưu trữ WordPress, các nhà nghiên cứu tại Sucuri đã giải thích. Nguyên nhân của việc tăng đột biến lượt tải xuống là do chiến dịch hack được tiến hành bởi các kẻ đe dọa.
Sucuri đã báo cáo rằng tất cả các yêu cầu đều bắt nguồn từ ba địa chỉ IP: 91[.]193[.]43[.]151, 79[.]137[.]206[.]177, 212[.]113[.]119[.]6.
Các chuyên gia đã giải thích rằng PHP backdoor có thể ẩn các yêu cầu dưới dạng cookie để tránh bị phát hiện.
“Theo Sucuri: ‘Vì lối vào bất hợp pháp này sử dụng $_REQUEST[id] để lấy mã PHP có thể thực thi, nó không yêu cầu yêu cầu POST để che giấu các tham số của mình trong nhật ký truy cập – nó có thể chuyển chúng dưới dạng cookie, vì $_REQUEST chứa nội dung của $_GET, $_POST và $_COOKIE’. ‘Yêu cầu GET không có tham số rõ ràng sẽ ít gây nghi ngờ hơn so với yêu cầu POST. Nhưng trong trường hợp của lối vào bất hợp pháp này, GET cũng có thể nguy hiểm tương đương’.
Trong các cuộc tấn công được quan sát bởi Sucuri, các kẻ đe dọa đã thành công đăng nhập vào quản trị viên WordPress và tạo các trang độc hại bằng cách sử dụng tài khoản quản trị thực sự của trang web.
Trên một số trang web bị xâm nhập, các chuyên gia đã quan sát được sự hiện diện của các người dùng quản trị độc hại với tên ngẫu nhiên và email outlook.com.
Các chuyên gia đã giải thích rằng các plugin cũ và không được cập nhật vẫn có mặt trong kho lưu trữ chính thức đang gây nguy hiểm về an ninh.
“Việc giữ các plugin như vậy trong kho lưu trữ chính thức làm cho việc theo dõi của hacker dễ hơn, vì họ có thể cài đặt một plugin chính hãng không được sửa đổi từ một nguồn đáng tin cậy thay vì cài đặt các plugin giả mạo hoặc sửa đổi các plugin hiện có, điều này có thể bị phát hiện bởi các máy quét giám sát tính toàn vẹn của các plugin đã biết”. Sucuri kết luận.