安全研究人员DenisSinegubko和AdrianStoian最近发现伪造的jQueryMigrate插件通过其中包含的混淆代码加载恶意软件以注入数十个网站。这些加载的文件名为jquery-migrate.js和jquery-migrate.min.js。这两个文件虽然从命名上看没有问题,但实际上是用来加载恶意软件的。截至目前,超过720万个网站正在使用jQueryMigrate插件,这就解释了为什么攻击者使用这个知名插件的名称来伪装他们的恶意软件。为了让用户更难检测到这种恶意活动,这些恶意文件替换了./wp-includes/js/jquery/目录中这些网站上的原始合法文件,该目录也是WordPress保存jQuery文件的目录。名为jquery-migrate.js和jquery-migrate.min.js的两个文件具有混淆代码,它们进一步加载了一个神秘的analytics.js文件,该文件也包含恶意代码。此次攻击的影响程度尚未确定。代码引用/wp-admin/user-new.php,这是用于创建新用户的WordPress管理页面。此外,代码访问_wpnonce_create-user变量,WordPress使用该变量来强制执行跨站点请求伪造(CSRF)保护。一般来说,能够获取或设置CSRF令牌将使攻击者能够代表用户发出伪造的请求。在WordPress网站上注入这样的脚本可能允许攻击者执行各种恶意活动,从诈骗信用卡到将用户重定向到欺诈网站。如果用户在其网站上使用WordPress和著名的jQueryMigrate插件,除了检查网站活动以确认是否存在恶意活动迹象等异常情况。本文转自OSCHINA文章标题:FakejQueryMigrate插件生成恶意文件感染WordPress网站本文地址:https://www.oschina.net/news/135655/fake-jquery-files-infect-wordpress-网站
