社区编辑申请
注册/登录
伪造的 jQuery Migrate 插件生成恶意文件感染 WordPress 网站
安全
安全研究人员 Denis Sinegubko 和 Adrian Stoian 近日发现,假冒的 jQuery Migrate 插件通过在其中包含的混淆代码来加载恶意软件从而注入了数十家网站。

安全研究人员 Denis Sinegubko 和 Adrian Stoian 近日发现,假冒的 jQuery Migrate 插件通过在其中包含的混淆代码来加载恶意软件从而注入了数十家网站。

这些被加载的文件被命名为 jquery-migrate.js 和 jquery-migrate.min.js,虽然从命名上不会察觉到这两个文件有什么问题,但实际上这两个文件是用于加载恶意软件的。

截至目前,有超过 720 万个网站都在使用 jQuery Migrate 插件,这也解释了为什么攻击者会用这个知名插件的名字来伪装他们的恶意软件。

为了使用户更难检测到这一恶意行为,这些恶意文件会取代这些网站上存在于 ./wp-includes/js/jquery/ 目录中的原始合法文件,这也是 WordPress 保存 jQuery 文件的目录。

这两个名为 jquery-migrate.js 和 jquery-migrate.min.js 的文件具有混淆代码,在代码中它们会进一步加载了一个神秘的 analytics.js 文件,这个文件里面也包含恶意代码。目前这次攻击产生的影响规模范围尚未确定。

该代码会引用 /wp-admin/user-new.php,这是 WordPress 用于创建新用户的管理页面。此外,代码还访问了 WordPress 用来执行跨站点请求伪造(CSRF)保护的 _wpnonce_create-user 变量。

一般来说,能够获取或设置 CSRF 令牌,将使攻击者有能力代表用户进行伪造请求。在 WordPress 网站上注入这样的脚本,可以让攻击者进行各种恶意活动,包括从骗取信用卡到将用户重定向到诈骗网站等。

如果有用户正在网站上使用 WordPress 以及知名的 jQuery Migrate 插件,则最好进行一次彻底的安全审核,以免误安装了这个同名的恶意插件,除此之外还需要对网站活动进行检查,以确实是否存在恶意活动迹象等异常情况。

本文转自OSCHINA

本文标题:伪造的 jQuery Migrate 插件生成恶意文件感染 WordPress 网站

本文地址:https://www.oschina.net/news/135655/fake-jquery-files-infect-wordpress-sites

责任编辑:未丽燕 来源: 开源中国
相关推荐

2022-05-16 13:37:12

Sysrv僵尸网络微软

2022-03-31 06:13:24

DDoS网络攻击漏洞

2022-04-21 14:29:40

前端文件预览

2022-04-19 13:09:35

恶意软件黑客网络攻击

2022-03-19 16:47:47

WordPress网站迁移服务器

2022-03-30 13:22:25

区块链加密货币黑客

2022-04-23 17:49:05

区块链元宇宙MetaCon

2022-04-06 10:12:51

网络安全网络漏洞

2022-04-18 09:07:54

Linux网络延迟

2022-04-06 15:21:53

暗网网络犯罪

2009-11-02 13:50:53

WordPressCMS

2022-05-13 14:13:05

黑客WordPress网网络攻击

2022-05-18 14:17:00

黑客漏洞网络攻击

2022-05-23 10:14:52

Deepfake人工智能

2022-04-29 17:03:37

WordPress开发者网站安全

2022-05-20 15:15:56

开发编程

2022-05-23 15:57:18

加密货币黑客网络攻击

2021-05-06 15:08:40

开发前端后端

2022-05-15 15:15:57

恶意软件WhatsApp网络攻击

2022-04-14 16:37:50

漏洞网络攻击插件

同话题下的热门内容

网传搜狐遭遇史诗级邮件诈骗,张朝阳回应来了2022 年 SaaS 安全调查7 大焦点企业数据安全管理体系建设“六步走”!揭露“超大规模数据泄露”?上网记录和位置每天被分享七百次勒索软件来袭时,如何保护你的数据?网络安全攻防演练中不能忽视的API风险对 DDoS 攻击进行防护的几种措施美国CFAA迎来重大修订,白帽黑客或将无责

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号