Os hackers estão utilizando o diretório mu-plugins (“Must-Use Plugins”) do WordPress para executar furtivamente códigos maliciosos em todas as páginas, evitando a detecção.
A técnica foi observada pela primeira vez por pesquisadores de segurança da Sucuri em fevereiro de 2025, mas as taxas de adoção estão aumentando, com os agentes de ameaças agora utilizando a pasta para executar três tipos distintos de código malicioso.
“O fato de termos visto tantas infecções dentro de mu-plugins sugere que os invasores estão ativamente mirando esse diretório como um ponto de apoio persistente”, explica Puja Srivastava, analista de segurança da Sucuri .
Os plugins obrigatórios (mu-plugins) são um tipo especial de plugin do WordPress que são executados automaticamente a cada carregamento de página, sem precisar ser ativados no painel de administração.
Eles são arquivos PHP armazenados no wp-content/mu-plugins/
diretório ‘ ‘ que são executados automaticamente quando a página é carregada e não são listados na página de administração regular “Plugins”, a menos que o filtro “Uso obrigatório” esteja marcado.
Os plugins Mu têm casos de uso legítimos, como impor funcionalidades em todo o site para regras de segurança personalizadas, ajustes de desempenho e modificação dinâmica de variáveis ou outros códigos.
No entanto, como os plugins MU são executados em cada carregamento de página e não aparecem na lista de plugins padrão, eles podem ser usados para executar furtivamente uma ampla gama de atividades maliciosas, como roubar credenciais, injetar código malicioso ou alterar saída HTML.
A Sucuri descobriu três cargas úteis que os invasores estão plantando no diretório mu-plugins, o que parece fazer parte de operações com motivação financeira.
Estes são resumidos da seguinte forma:
O caso do webshell é particularmente perigoso, pois permite que invasores executem comandos remotamente no servidor, roubem dados e iniciem ataques downstream em membros/visitantes.
Os outros dois payloads também podem ser prejudiciais, pois prejudicam a reputação e as pontuações de SEO de um site devido a redirecionamentos obscuros e tentativas de instalar malware nos computadores dos visitantes.
A Sucuri não determinou o caminho exato da infecção, mas levanta a hipótese de que os invasores exploram vulnerabilidades conhecidas em plugins e temas ou credenciais fracas de contas de administrador.
É recomendável que os administradores de sites WordPress apliquem atualizações de segurança em seus plugins e temas, desabilitem ou desinstalem aqueles que não são necessários e protejam contas privilegiadas com credenciais fortes e autenticação multifator.
CVE-2025-20352 no SNMP do IOS/IOS XE permite DoS e até execução como root; aplique os…
Um novo e inteligente golpe do ClickFix está usando um instalador falso do AnyDesk e…
Pesquisadores descobriram que agentes de ameaças exploram o Grok, IA integrada ao X (antigo Twitter),…
As explorações permitem backdooring persistente quando os alvos abrem arquivos armadilhados.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…