近日，数千个使用 WordPress 内容管理系统的网站遭到黑客攻击。该攻击者利用了名为 tagDiv Composer 的热门插件中的一个最近修补的漏洞，向网页注入恶意代码。

据了解，存在漏洞的 tagDiv Composer 插件是使用 WordPress 主题 Newspaper 和 Newsmag 必须的组件。这两个主题在 Theme Forest 和 Envato 市场上累计下载量已超过15.5万。该漏洞被追踪为 CVE-2023-3169，属于跨站脚本（XSS）漏洞类型，使攻击者能够向网页注入恶意代码。这一漏洞的严重程度评级为10分制的7.1分。tagDiv Composer4.1版本对其进行了部分修复，4.2版本实现了完整修复。

图源备注：图片由AI生成，图片授权服务商Midjourney

据安全研究人员 Denis Sinegubko 发布的文章，攻击者正在利用该漏洞向网页注入脚本，将访问者重定向到各种诈骗网站。这些重定向链接通常推送假冒技术支持、欺诈彩票中奖信息，以及推送通知骗局，后者通过展示假验证码对话框骗用户订阅推送通知。

Sinegubko 所在的安全公司 Sucuri 自2017年开始跟踪该恶意软件运动，并将其命名为 Balada。Sucuri 估计，在过去6年中，Balada 已成功控制超过100万个网站。

仅上个月，Sucuri 就检测到 Balada 注入代码影响了超过1.7万个网站，几乎是之前一个月的两倍。超过9千个新的感染都是通过利用 CVE-2023-3169漏洞实现的。

Balada 攻击者一直试图获取所入侵网站的持续控制权。最常见的方式是注入可创建管理员权限账户的脚本。如果真正的管理员只删除重定向脚本而保留假冒的管理员账户，攻击者就可以利用管理权限再次添加恶意重定向脚本。

使用 WordPress 主题 Newspaper 或 Newsmag 的网站管理员应仔细检查自己的网站和事件日志，寻找感染的迹象。正如前文所述，Balada 攻击者试图获取对入侵网站的持续访问权限。除删除添加的恶意脚本外，还有必要检查后门代码和任何管理员账户的添加情况。

乌托邦网络建议请及时设置好网站权限，或者禁止使用该插件！