Jetpack ha condiviso il fatto che, mentre il team indagava su un sito compromesso, ha scoperto del codice sospetto in un tema di WordPress di AccessPress Themes.
Noto anche come Access Keys, AccessPress Themes è un vendor che propone un gran numero di temi e plugin popolari per WordPress.
Dopo aver condotto ulteriori indagini, Jetpack ha scoperto che tutti i temi e la maggior parte dei plugin del fornitore contenevano questo codice sospetto, ma solo se scaricati dal sito web del vendor.
Le stesse estensioni erano a posto se scaricate o installate direttamente dalla directory di WordPress.org.
A causa del modo in cui le estensioni sono state compromesse, Jetpack ha sospettato che un cyber-attacker esterno avesse violato il sito web di AccessPress Themes nel tentativo di utilizzare le sue estensioni per infettare altri siti.
Jetpack ha dichiarato di aver immediatamente contattato il fornitore, ma di non aver ricevuto una risposta, all’inizio.
Dopo aver fatto un’escalation al team dei plugin di WordPress.org, i sospetti di Jetpack sono stati confermati.
I siti di AccessPress Themes – ha reso noto il team di Jetpack – sono stati violati nella prima metà di settembre 2021, e le estensioni disponibili per il download su quei siti sono state iniettate con una backdoor.
Una volta stabilito un canale di comunicazione con il vendor, Jetpack ha condiviso ciò che aveva scoperto. E il fornitore ha immediatamente rimosso le estensioni incriminate dal proprio sito web.
La maggior parte dei plugin sono stati aggiornati. Tuttavia, ha sottolineato Jetpack, i temi interessati non sono stati aggiornati, e sono stati tolti dal repository dei temi di WordPress.org.
Sul proprio blog, Jetpack ha descritto in modo approfondito il problema.
Ha inoltre elencato le versioni pulite conosciute e ha consigliato agli utenti, se hanno implementato uno dei temi colpiti sul proprio sito (anch’essi evidenziati nel post), di migrare a un nuovo tema il più presto possibile.