“Cuatro puertas traseras a mi panel”: cómo un archivo JavaScript secuestró miles de sitios web
WordPress cree que es seguro, pero los piratas informáticos saben la verdad.
Los expertos de la empresa c/side identificaron un ataque sofisticado a sitios de WordPress, en el que los atacantes utilizaron un único archivo JavaScript de terceros para infectar más de mil sitios. El código malicioso se cargaba desde «cdn.csyndication[.]com» e implementaba inmediatamente cuatro puertas traseras, creando múltiples puntos de entrada para mantener el acceso incluso si una de ellas era detectada y eliminada.
La primera puerta trasera cargaba en el sitio un complemento malicioso de WordPress. Para eludir la protección, el código obtenía tokens de seguridad especiales (CSRF) e instalaba el complemento de manera encubierta. Posteriormente, buscaba en el servidor instalaciones de WordPress y Laravel para ampliar el alcance del ataque.
La segunda puerta trasera realizaba modificaciones en el archivo «wp-config.php», agregando un JavaScript malicioso. Esto permitía a los atacantes ejecutar scripts ocultos en el sitio, que podían interferir en su funcionamiento e infectar a los visitantes.
La tercera puerta trasera afectaba al sistema SSH. Añadía claves de los atacantes en el archivo «~/.ssh/authorized_keys», proporcionándoles acceso remoto persistente al servidor incluso después de cambiar las contraseñas.
La cuarta puerta trasera permitía ejecutar comandos remotos y descargar archivos maliciosos adicionales desde «gsocket[.]io», creando una shell inversa para obtener control total del sistema.
El complemento malicioso «ultra-seo-processor», cargado por la primera puerta trasera, se ocultaba en el panel de administración de WordPress. Enmascaraba su presencia, modificaba archivos del sistema, escaneaba el servidor en busca de otros CMS y garantizaba una infiltración a largo plazo.
A pesar de la complejidad del ataque, los sistemas antivirus apenas lo detectan. Según VirusTotal, el malware ha sido identificado solo por unas pocas soluciones, lo que hace que el ataque sea especialmente peligroso.
Para protegerse, se recomienda revisar los recursos en busca del complemento «ultra-seo-processor», verificar «wp-config.php» e «index.php» en busca de inyecciones maliciosas y eliminar claves SSH sospechosas. Es fundamental cambiar las contraseñas de todos los administradores de WordPress y monitorear los registros del sistema para detectar actividades sospechosas.
El uso de JavaScript de terceros como vector de ataque no es nuevo, pero la implementación de cuatro puertas traseras simultáneamente para mantener el acceso es poco común. Dado el uso generalizado de bibliotecas externas de JS, este tipo de ataques podría volverse más frecuente.