Vijf plug-ins voor WordPress die via de officiële repository WordPress.org worden aangeboden zijn bij een supplychain-aanval voorzien van een backdoor. Eén van de getroffen plug-ins, Social Warfare, draait op meer dan dertigduizend websites. Dat meldt securitybedrijf Wordfence. Naast deze plug-in gaat het ook om Blaze Widget, Wrapper Link Element, Contact Form 7 Multi-Step Addon en Simply Show Hooks, met respectievelijk zestig, duizend, zevenhonderd en vierduizend installaties.

Een aanvaller heeft op nog onbekende wijze malware aan deze vijf plug-ins toegevoegd die een nieuw admin-account aanmaakt en de gegevens hiervoor terugstuurt naar de aanvaller. Verder blijkt dat de aanvaller malafide code aan getroffen websites toevoegt voor SEO-spam. De malafide code zou voor zover bekend op 21 juni voor het eerst zijn toegevoegd en de aanvaller was gisteren nog bezig met het aanpassen van de plug-ins.

De vijf plug-ins zijn inmiddels niet meer via WordPress.org te downloaden en er loopt een onderzoek, zo blijkt uit een melding. Websites die van de getroffen plug-ins gebruikmaken wordt aangeraden direct in 'incident response mode' te gaan en de site als gecompromitteerd te beschouwen.