YODA ontdekt tienduizenden malafide WordPress-plugins
Een grootschalig en langlopend onderzoek naar kwaadaardige plugins voor WordPress legt bloot dat vele tienduizenden websites zijn gehackt. Dat gebeurde via een nog groter aantal malafide plugins. Onderzoekers merkten de hacks op dankzij de opensourcetool YODA, die scant op deze hackmiddelen. De paper van het onderzoek werd vrijgegeven na de presentatie op de USENIX-conferentie.
© Automattic
Automattic
'Wantrouw plugins, moet je doen', begint de titel van de paper (PDF). Die zinsconstructie is gebaseerd op het taalgebruik van Star Wars-karakter Yoda, naar wie de scantool van de onderzoekers is vernoemd. Hun onderzoek,dat van juli 2012 tot juli 2020 heeft gelopen, werpt een licht op de praktijken van malafide plugins die worden aangeboden op reguliere marktplaatsen voor WordPress-plugins.
Langs legitieme weg
Daar kunnen nietsvermoedende website-uitbaters schijnbaar nuttige toevoegingen voor dat contentmanagementsysteem (CMS) vinden. Naast functionaliteit halen die gebruikers dan echter ook ongewenste zaken in huis. "Het aantal kwaadaardige plugins op websites is de afgelopen jaren gestaag toegenomen, en kwaadaardige activiteit heeft in maart 2020 een piek behaald", stellen de onderzoekers van het Georgia Institute of Technology.
Zij hebben daarbij nog iets gezien dat nog erger is dan die trend van malafide WordPress-plugins. Namelijk het feit dat 94% van de plugins die zijn geïnstalleerd in de acht jaar dat het onderzoek liep nu nog altijd actief zijn. Het gaat om illegaal gekopieerde en dan aangepaste plugins, maar ook om plugins die schijnbaar van goedaardige plugin-makers afkomstig zijn. De kwaadwillende aanbieders doen zich dan voor als een echte, betrouwbare ontwikkelaar.
Tienduizenden
Één van de voornaamste bevindingen uit het onderzoek is in de voorzomer al naar buiten gekomen. Dit is het schokkende aantal van 47.337 kwaadaardige plugins die zijn aangetroffen op 24.931 unieke websites. Daarvan waren 3.685 plugins verkocht op legitieme marktplaatsen voor deze WordPress-toevoegingen. De kwaadaardige aanbieders hebben aan die initiële verkoop aan WordPress-gebruikers al 41.500 dollar verdiend.
Aan eventuele hackoperaties kunnen de aanbieders of derde partijen natuurlijk nog meer hebben verdiend. Sommige plugins zijn pas nadat ze zijn geïnstalleerd voorzien van kwaadaardige mogelijkheden. In totaal heeft het achtjarige onderzoek 410.122 unieke webservers geanalyseerd. Dat is dus gedaan met de YODA-tool, die als open source beschikbaar is op ontwikkelaarsplatform GitHub.
Gebruik YODA
YODA biedt detectie van verborgen plugins en add-ons die stiekem zijn voorzien van malwaremogelijkheden. Daarnaast kan het gebruikt worden om de herkomst en het eigenaarschap van plugins na te gaan. Websitebeheerders kunnen YODA direct integreren op hun site, ook als die bij een hostingprovider draait.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee