Hackers abusam de plugins MU do WordPress para esconder código malicioso

Os hackers estão utilizando o diretório mu-plugins (“Must-Use Plugins”) do WordPress para executar furtivamente códigos maliciosos em todas as páginas, evitando a detecção.

A técnica foi observada pela primeira vez por pesquisadores de segurança da Sucuri em fevereiro de 2025, mas as taxas de adoção estão aumentando, com os agentes de ameaças agora utilizando a pasta para executar três tipos distintos de código malicioso.

“O fato de termos visto tantas infecções dentro de mu-plugins sugere que os invasores estão ativamente mirando esse diretório como um ponto de apoio persistente”, explica Puja Srivastava, analista de segurança da Sucuri .

Malware “indispensável”

Os plugins obrigatórios (mu-plugins) são um tipo especial de plugin do WordPress que são executados automaticamente a cada carregamento de página, sem precisar ser ativados no painel de administração.

Eles são arquivos PHP armazenados no wp-content/mu-plugins/diretório ‘ ‘ que são executados automaticamente quando a página é carregada e não são listados na página de administração regular “Plugins”, a menos que o filtro “Uso obrigatório” esteja marcado.

Os plugins Mu têm casos de uso legítimos, como impor funcionalidades em todo o site para regras de segurança personalizadas, ajustes de desempenho e modificação dinâmica de variáveis ​​ou outros códigos.

No entanto, como os plugins MU são executados em cada carregamento de página e não aparecem na lista de plugins padrão, eles podem ser usados ​​para executar furtivamente uma ampla gama de atividades maliciosas, como roubar credenciais, injetar código malicioso ou alterar saída HTML.

A Sucuri descobriu três cargas úteis que os invasores estão plantando no diretório mu-plugins, o que parece fazer parte de operações com motivação financeira.

Estes são resumidos da seguinte forma:

1. redirect.php : redireciona visitantes (excluindo bots e administradores conectados) para um site malicioso (updatesnow[.]net) que exibe um prompt de atualização do navegador falso para induzi-los a baixar malware.
2. index.php : Webshell que atua como um backdoor, buscando e executando código PHP de um repositório GitHub.
3. custom-js-loader.php : Carrega JavaScript que substitui todas as imagens no site por conteúdo explícito e sequestra todos os links de saída, abrindo pop-ups obscuros.

O caso do webshell é particularmente perigoso, pois permite que invasores executem comandos remotamente no servidor, roubem dados e iniciem ataques downstream em membros/visitantes.

Os outros dois payloads também podem ser prejudiciais, pois prejudicam a reputação e as pontuações de SEO de um site devido a redirecionamentos obscuros e tentativas de instalar malware nos computadores dos visitantes.

A Sucuri não determinou o caminho exato da infecção, mas levanta a hipótese de que os invasores exploram vulnerabilidades conhecidas em plugins e temas ou credenciais fracas de contas de administrador.

É recomendável que os administradores de sites WordPress apliquem atualizações de segurança em seus plugins e temas, desabilitem ou desinstalem aqueles que não são necessários e protejam contas privilegiadas com credenciais fortes e autenticação multifator.