安全研究人員 Denis Sinegubko 和 Adrian Stoian 近日發(fā)現(xiàn)，假冒的 jQuery Migrate 插件通過在其中包含的混淆代碼來加載惡意軟件從而注入了數(shù)十家網(wǎng)站。

這些被加載的文件被命名為 jquery-migrate.js 和 jquery-migrate.min.js，雖然從命名上不會察覺到這兩個文件有什么問題，但實際上這兩個文件是用于加載惡意軟件的。

截至目前，有超過 720 萬個網(wǎng)站都在使用 jQuery Migrate 插件，這也解釋了為什么攻擊者會用這個知名插件的名字來偽裝他們的惡意軟件。

[[391082]]

為了使用戶更難檢測到這一惡意行為，這些惡意文件會取代這些網(wǎng)站上存在于 ./wp-includes/js/jquery/ 目錄中的原始合法文件，這也是 WordPress 保存 jQuery 文件的目錄。

這兩個名為 jquery-migrate.js 和 jquery-migrate.min.js 的文件具有混淆代碼，在代碼中它們會進(jìn)一步加載了一個神秘的 analytics.js 文件，這個文件里面也包含惡意代碼。目前這次攻擊產(chǎn)生的影響規(guī)模范圍尚未確定。

該代碼會引用 /wp-admin/user-new.php，這是 WordPress 用于創(chuàng)建新用戶的管理頁面。此外，代碼還訪問了 WordPress 用來執(zhí)行跨站點請求偽造(CSRF)保護(hù)的 _wpnonce_create-user 變量。

一般來說，能夠獲取或設(shè)置 CSRF 令牌，將使攻擊者有能力代表用戶進(jìn)行偽造請求。在 WordPress 網(wǎng)站上注入這樣的腳本，可以讓攻擊者進(jìn)行各種惡意活動，包括從騙取信用卡到將用戶重定向到詐騙網(wǎng)站等。

如果有用戶正在網(wǎng)站上使用 WordPress 以及知名的 jQuery Migrate 插件，則最好進(jìn)行一次徹底的安全審核，以免誤安裝了這個同名的惡意插件，除此之外還需要對網(wǎng)站活動進(jìn)行檢查，以確實是否存在惡意活動跡象等異常情況。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：偽造的 jQuery Migrate 插件生成惡意文件感染 WordPress 網(wǎng)站

本文地址：https://www.oschina.net/news/135655/fake-jquery-files-infect-wordpress-sites