Sign1 恶意软件攻击 WordPress 插件

根据 Sucuri 安全分析师的观察，在过去六个月内，一个名为 Sign1 的重大恶意软件操作已成功渗透到 39,000 个 WordPress 网站。该活动涉及将恶意 JavaScript 注入植入受感染的网站，将访问者重定向到有害目的地。研究人员使用 SiteCheck 发现，仅在过去两个月就有超过 2,500 个网站受到感染。

Sign1 通过代码插入插件攻击 WordPress

根据专家的报告，允许任意代码插入的插件对于网站所有者和开发人员来说很方便，但它们也可能在受感染的环境中被攻击者利用。 Sign1 背后的恶意行为者利用此类插件，特别是那些允许自定义 CSS 和 JS 的插件来插入其有害负载。

他们将恶意 JavaScript 嵌入到合法插件和 HTML 小部件中，并使用 XOR 技术对其进行编码以执行远程 JavaScript 文件。 URL 每 10 分钟动态更改一次，使检测工作变得复杂。值得注意的是，如果访问者来自 Google 或 Facebook 等主要网站，则恶意代码将不会执行，这是一种逃避检测的策略。

Sign1 精心策划的重定向主要指向 VexTrio 域。该活动最初由研究人员 Denis Sinegubko 在 2023 年下半年发现，自 2023 年 7 月 31 日以来已利用了多达 15 个不同的域名。

该活动的名称 Sign1 源自用于提取和解码恶意 URL 的代码中的一个参数。 2023 年 10 月，攻击者修改了混淆策略，删除了sign1参数，这可能表明对目标网站的暴力攻击成功。