Peneliti keamanan telah menemukan versi palsu dari plugin jQuery Migrate yang disuntikkan ke lusinan situs web yang berisi kode yang dikaburkan (obfuscated) untuk memuat malware.
File-file ini diberi nama jquery-migrate.js dan jquery-migrate.min.js dan ada di lokasi yang tepat di mana file JavaScript biasanya ada di situs WordPress tetapi sebenarnya berbahaya.
Saat ini, lebih dari 7,2 juta situs web menggunakan plugin jQuery Migrate, yang menjelaskan mengapa penyerang menyamarkan malware mereka dengan nama plugin populer ini.
Peneliti keamanan Denis Sinegubko dan Adrian Stoian melihat file jQuery palsu yang meniru plugin jQuery Migrate di puluhan situs web minggu ini.
Meskipun skala penuh serangan ini belum ditentukan, Sinegubko membagikan kueri penelusuran yang menunjukkan lebih dari tiga lusin halaman yang saat ini terinfeksi skrip analitik berbahaya.
Bertentangan dengan namanya, bagaimanapun, file analitik tidak ada hubungannya dengan pengumpulan metrik situs web:
BleepingComputer menganalisis beberapa kode yang dikaburkan yang ada di file.
Kode tersebut memiliki referensi ke “/wp-admin/user-new.php” yang merupakan halaman administrasi WordPress untuk membuat pengguna baru. Selain itu, kode mengakses variabel _wpnonce_create-user yang digunakan WordPress untuk menerapkan perlindungan Cross-Site Request Forgery (CSRF).
Secara umum, dapat memperoleh atau menyetel token CSRF akan memberi penyerang kemampuan untuk membuat permintaan palsu atas nama pengguna.
Menyuntikkan skrip seperti ini di situs WordPress memungkinkan penyerang melakukan berbagai aktivitas berbahaya termasuk apa pun dari penipuan Magecart untuk skimming kartu kredit hingga mengarahkan pengguna ke situs scam.
Namun, dalam kasus ini, fungsi checkme() mencoba mengalihkan jendela browser pengguna ke URL berbahaya yang diidentifikasi oleh BleepingComputer.
Selengkapnya: Bleeping Computer
