Cyberthreat.id - Plugin WordPress yang ketinggalan jaman kini dimanfaatkan secara diam-diam membuka situs web. Sucuri mengungkapkan dalam laporan yang diterbitkan minggu lalu. Plugin yang dimaksud adalah Eval PHP yang dirilis oleh developer bernama flashpixx. 

Menurut The Hacker Nrews, hal itu memungkinkan pengguna untuk memasukkan halaman kode PHP dan posting situs WordPress yang kemudian dijalankan setiap kali posting dibuka di browser web.

Disebutkan, meskipun Eval PHP tidak pernah menerima pembaruan dalam 11 tahun, statistik yang dikumpulkan oleh WordPress menunjukkan bahwa itu diinstal di lebih dari 8.000 situs web, dengan jumlah unduhan meroket dari rata-rata satu atau dua sejak September 2022 menjadi 6.988 pada 30 Maret 2023.

Pada 23 April 2023 saja sudah diunduh sebanyak 2.140 kali. Plugin ini telah mengumpulkan 23.110 unduhan selama tujuh hari terakhir.
Sucuri mengamati beberapa database situs web yang terinfeksi yang disuntikkan dengan kode berbahaya ke dalam tabel "wp_posts", yang menyimpan posting, halaman, dan informasi menu navigasi situs. 

“Permintaan berasal dari tiga alamat IP berbeda yang berbasis di Rusia.”

"Kode ini cukup sederhana: Ia menggunakan fungsi file_put_contents untuk membuat skrip PHP ke dalam docroot situs web dengan backdoor eksekusi kode jarak jauh yang ditentukan," kata peneliti keamanan Ben Martin kepada The Hacker News.

"Meskipun injeksi yang dimaksud tidak memasukkan backdoor konvensional ke dalam struktur file, kombinasi plugin yang sah dan dropper backdoor di posting WordPress memungkinkan mereka dengan mudah menginfeksi ulang situs web dan tetap tersembunyi. Yang perlu dilakukan penyerang hanyalah mengunjungi salah satu posting atau halaman yang terinfeksi dan backdoor akan disuntikkan ke dalam struktur file."

Sucuri mengatakan telah mendeteksi lebih dari 6.000 contoh backdoor ini di situs web yang disusupi dalam 6 bulan terakhir, menggambarkan pola memasukkan malware langsung ke dalam database sebagai "perkembangan baru dan menarik".

Rantai serangan memerlukan penginstalan plugin Eval PHP di situs yang dikompromikan dan menyalahgunakannya untuk membangun backdoor yang persisten di beberapa pos yang terkadang juga disimpan sebagai draf.

"Cara kerja plugin Eval PHP cukup menyimpan halaman sebagai draf untuk mengeksekusi kode PHP di dalam kode pendek [evalphp]," jelas Martin, menambahkan halaman jahat dibuat dengan administrator situs asli sebagai pembuatnya, penyerang berhasil masuk sebagai pengguna istimewa.

Perkembangan sekali lagi menunjukkan bagaimana aktor jahat bereksperimen dengan berbagai metode untuk mempertahankan pijakan mereka di lingkungan yang disusupi dan menghindari pemindaian sisi server dan pemantauan integritas file.

Pemilik situs disarankan mengamankan dasbor WP Admin serta mewaspadai login yang mencurigakan untuk mencegah pelaku ancaman mendapatkan akses admin dan menginstal plugin.[]