عثرت أداة YODA على حوالي 47000 من مكونات WordPress الخبيثة المثبتة في أكثر من 24000 موقع
تم اكتشاف ما يصل إلى 47337 مكونًا إضافيًا ضارًا في 24931 موقعًا فريدًا ، تم بيع 3685 مكونًا إضافيًا منها في أسواق مشروعة ، مما أدى إلى وصول المهاجمين إلى عائدات غير قانونية بقيمة 41500 دولار.
جاءت النتائج من أداة جديدة تسمى YODA تهدف إلى اكتشاف المكونات الإضافية المارقة لـ WordPress وتتبع أصلها ، وفقًا لدراسة استمرت 8 سنوات أجرتها مجموعة من الباحثين من معهد جورجيا للتكنولوجيا.
قال الباحثون في ورقة جديدة بعنوان ” Mistrust Plugins You must ” ، “انتحل المهاجمون صفة مؤلفي المكونات الإضافية الحميدة ونشروا البرامج الضارة عن طريق توزيع المكونات الإضافية المقرصنة” .
“زاد عدد المكونات الإضافية الضارة على مواقع الويب بشكل مطرد على مر السنين ، وبلغ النشاط الضار ذروته في مارس 2020. والمثير للصدمة أن 94٪ من المكونات الإضافية الضارة المثبتة على مدار تلك السنوات الثماني لا تزال نشطة حتى اليوم.”
استلزم البحث الواسع النطاق تحليل مكونات WordPress الإضافية المثبتة في 410122 خادم ويب فريدًا يعود تاريخه إلى عام 2012 ، ووجد أن المكونات الإضافية التي تكلف ما مجموعه 834000 دولار قد أصيبت بعد النشر من قبل الجهات المهددة.
يمكن دمج YODA مباشرةً في موقع ويب ومزود استضافة خادم ويب ، أو نشره بواسطة سوق المكونات الإضافية. بالإضافة إلى اكتشاف الوظائف الإضافية المخفية والمزودة ببرامج ضارة ، يمكن أيضًا استخدام إطار العمل لتحديد مصدر المكون الإضافي وملكيته.
يحقق ذلك عن طريق إجراء تحليل لملفات التعليمات البرمجية من جانب الخادم والبيانات الوصفية المرتبطة بها (على سبيل المثال ، التعليقات) لاكتشاف المكونات الإضافية ، متبوعًا بإجراء تحليل نحوي ودلالي لتحديد السلوك الضار.
يمثل النموذج الدلالي نطاقًا واسعًا من العلامات الحمراء ، بما في ذلك قذائف الويب ، ووظيفة إدراج منشورات جديدة ، والتنفيذ المحمي بكلمة مرور للرموز المحقونة ، والبريد العشوائي ، والتشويش على الكود ، وتحسين محركات البحث في التعتيم ، وتنزيل البرامج الضارة ، والإعلانات الخبيثة ، وعمال المناجم المشفرة.
بعض النتائج الأخرى الجديرة بالملاحظة هي كما يلي –
- 3452 ملحقًا متوفرًا في أسواق المكونات الإضافية المشروعة سهّل حقن البريد العشوائي
- تم إصابة 40533 مكونًا إضافيًا بعد النشر عبر 18034 موقعًا على الويب
- المكونات الإضافية الملغاة – المكونات الإضافية أو السمات الخاصة بـ WordPress التي تم العبث بها لتنزيل تعليمات برمجية ضارة على الخوادم – تمثل 8525 من إجمالي الوظائف الإضافية الخبيثة ، مع ما يقرب من 75٪ من المكونات الإضافية المقرصنة تغش مطوري البرامج من أصل 228000 دولار من الإيرادات
وأشار الباحثون إلى أنه “باستخدام YODA ، يمكن لمالكي مواقع الويب ومقدمي الاستضافة تحديد المكونات الإضافية الضارة على خادم الويب ؛ ويمكن لمطوري البرامج الإضافية والأسواق فحص المكونات الإضافية قبل التوزيع”.
إرسال التعليق