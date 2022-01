Kriminelle nutzen längst nicht mehr nur Erweiterungen für Browser, um sich das Vertrauen von Nutzern zu erschleichen und ihre Malware zu verbreiten. Aktuell verschaffen sie sich so auch Zugänge zu sehr vielen Webseiten.

Ein signifikanter Teil aller Angebote im Web wird inzwischen über das Content-Management-System WordPress bereitgestellt. Die Webseiten-Betreiber können hier recht einfach diverse Zusatz-Funktionen über Addons in ihre Projekte integrieren. Das Nutzen Angreifer zunehmend aus, um so genannte Supply-Chain-Angriffe zu fahren - es werden also nicht mehr einzelne Seiten gehackt, sondern Schadcodes über vermeintlich vertrauenswürdige Module von Drittanbietern eingeschleust.Insgesamt wurden von Sicherheitsforschern 93 verschiedene WordPress-Plugins und -Themes gefunden, über die eine Webseite mit einer Backdoor ausgestattet wurde, die dem Angreifer vollen administrativen Zugriff gewährte. Es handelt sich dabei um Erweiterungen, die über die Plattform AccessPress Themes bereitgestellt wurden, so dass es naheliegt, dass die Angreifer sich Zugang zu dieser verschaffen konnten, wie aus einem Bericht von Ars Technica hervorgeht. Dafür spricht auch die Tatsache, dass die gleichen Plugins und Themes, die über andere Plattformen wie etwa WordPress.org angeboten werden, ohne Schadcode daherkommen.Der Backdoor-Code ist dabei in einer Datei namens initial.php eingeschleust worden, die normalerweise nicht zur Installation gehört. Diese wird dann über eine manipulierte Variante der functions.php eingebunden wird. Der fremde Code selbst wird dabei über ein base64-Encoding getarnt, um nicht gleich bei einer oberflächlichen Durchsicht aufzufallen.Die Sicherheitsforscher haben selbst einige Dutzend Seiten gefunden, die auf diese Weise mit einer Hintertür versehen wurden. Allerdings kann die Zahl durchaus wesentlich größer sein. Zumindest WordPress-Administratoren, die die genannte Download-Plattform genutzt haben, um Plugins zu beziehen, sollten daher Prüfen, ob sich die Backdoor bei ihnen einschleichen konnte.