보안정보

 

 

 

보안 연구원이 악성 코드를 로드하기 위해 난독화된 코드를 포함하는 수십개의 웹 사이트에 삽입된 jQuery Migrate 플러그인의 위조 버전을 발견했다.

 

이러한 파일의 이름은 jquery-migrate.js 및 jquery-migrate.min.js이며 JavaScript 파일이 일반적으로 위치하는 WordPress 사이트에 있지만 실제로는 악성이다.

 

720만개 이상의 웹 사이트에서 jQuery Migrate 플러그인을 사용한다.

 

이는 공격자가 인기있는 플러그인 이름으로 악성 코드를 위장하는 이유이다.

 

이번주 보안 연구원 Denis Sinegubko와 Adrian Stoian은 수십개의 웹 사이트에서 jQuery Migrate 플러그인을 가장한 위조 jQuery 파일을 발견했다.

탐지를 어렵게 만들기 위해 이러한 악성 파일은 WordPress가 jQuery 파일을 보관하는 디렉토리인 ./wp-includes/js/jquery/ 에 있는 원래의 파일을 대체한다.

 

jquery-migrate.js 및 jquery-migrate.min.js라는 이름의 이러한 파일은 악성 코드가 포함된 analytics.js파일을 추가로로드하는 코드를 난독화했다.

 

 

 

[그림1. 악성 jQuery 관련 트윗]

 

 

이 공격의 전체 규모는 아직 파악되지 않았지만 Sinegubko는 현재 악성 분석 스크립트에 감염된 30개 이상의 페이지를 보여주는 검색 쿼리를 공유했다.

그러나 이름과 달리 이 분석 파일은 웹 사이트 메트릭 수집과 관련이 없다.

 

 

 

[그림2. 악성 analytics.js 파일 코드 샘플]

 

 

이 코드에는 새 사용자를 만들기위한 WordPress 관리 페이지인 "/wp-admin/user-new.php"에 대한 참조가 있다.

 

또한 이 코드는 WordPress가 CSRF(Cross-Site Request Forgery) 보호하는데 사용하는 _wpnonce_create-user 변수에 액세스한다.

 

일반적으로 CSRF 토큰을 얻거나 설정할 수 있으면 공격자가 사용자를 대신하여 위조된 요청을 할 수 있다. 

WordPress 사이트에 이와 같은 스크립트를 삽입하면 공격자가 신용카드 스키밍을 위한 Magecart 사기부터 사용자를 사기 사이트로 리디렉션하는 등 다양한 악의적인 활동을 수행할 수 있다.

 

사용자는 가짜 설문 조사, 가짜 기술 지원으로 이동하거나 스팸 알림을 구독하거나 원치 않는 브라우저 확장 프로그램을 다운로드하도록 요청받을 수 있다.

 

그러나 이 경우보다 구체적으로 checkme()함수는 사용자의 브라우저 창을 악성 URL로 리디렉션하려고 시도한다.

 

특히, 분석 스크립트의 15행에는 ASCII 숫자로 표시되는 문자와 함께 인코딩 된 URL이 포함되어 있다.

 

이것을 디코딩할 때 URL은 다음과 같이 식별되었다.

 

 

 

analytics.js의 스크립트는 먼저 위의 URL로 사용자를 리디렉션하는데 이는 사용자를 추가적인 스팸 URL로 이동시킨다.