![[Link esterno] Sito internet - Provincia autonoma di Bolzano - Alto Adige](/css/img/APBZ_Logo_Website_DE_IT_LAD.svg){kind=logo}
Oltre 1.000 siti WordPress infettati con backdoor JavaScript che consentono l'accesso a un attaccante persistente
Violazione dei dati / Sicurezza del sito web
Oltre 1.000 siti web alimentati da WordPress sono stati infettati da un codice JavaScript di terze parti che inietta quattro backdoor separate.
“La creazione di quattro backdoor facilita agli aggressori la possibilità di avere più punti di rientro nel caso in cui uno di essi venga rilevato e rimosso”, ha dichiarato Himanshu Anand, ricercatore di c/side, in un'analisi di mercoledì.
È stato rilevato che il codice JavaScript dannoso viene servito tramite cdn.csyndication[.]com. Al momento, ben 908 siti web contengono riferimenti al dominio in questione.
Le funzioni delle quattro backdoor sono spiegate di seguito:
Backdoor 1: che carica e installa un falso plugin chiamato “Ultra SEO Processor”, che viene poi utilizzato per eseguire i comandi inviati dall'aggressore.
Backdoor 2: che inietta JavaScript dannoso in wp-config.php
Backdoor 3: che aggiunge una chiave SSH controllata dall'aggressore al file ~/.ssh/authorized_keys in modo da consentire l'accesso remoto persistente alla macchina
Backdoor 4: che è progettata per eseguire comandi remoti e recupera un altro payload da gsocket[.]io per aprire probabilmente una reverse shell.
Per mitigare il rischio posto dagli attacchi, si consiglia agli utenti di eliminare le chiavi SSH non autorizzate, di ruotare le credenziali di amministrazione di WordPress e di monitorare i registri di sistema alla ricerca di attività sospette.
Lo sviluppo arriva mentre la società di cybersicurezza ha dettagliato che un'altra campagna di malware ha compromesso più di 35.000 siti web con JavaScript dannoso che “dirotta completamente la finestra del browser dell'utente” per reindirizzare i visitatori del sito a piattaforme di gioco d'azzardo in lingua cinese.
“L'attacco sembra essere mirato o proveniente da regioni in cui il mandarino è comune, e le pagine di destinazione finali presentano contenuti di gioco d'azzardo con il marchio 'Kaiyun'.
I reindirizzamenti avvengono tramite JavaScript ospitato su cinque domini diversi, che funge da caricatore per il payload principale responsabile dell'esecuzione dei reindirizzamenti.
mlbetjs[.]com
ptfafajs[.]com
zuizhongjs[.]com
jbwzzzjs[.]com
jpbkte[.]com
SOC
Altri comunicati stampa di questa categoria
- Nuova campagna ClickFix usa ingegneria sociale per diffondere malware tramite prompt ingannevoli (19/02/2026, 23:00)
- Microsoft corregge una vulnerabilità ad alta gravità in Windows Admin Center che consente l’elevazione di privilegi (19/02/2026, 23:00)
- Gruppo di cyber-spionaggio con supporto statale compromette reti governative e infrastrutture critiche in 37 Paesi (05/02/2026, 23:00)
![[external Link]: Dipartimento per la trasformazione digitale](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/89d3384e-8482-4aa1-8ae3-05b637cd88dc/dipartimento-transformazione-digitale.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)
![[external Link]: ACN](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/ac0e1861-4b7f-4ba1-85de-2e7e39b5372f/acn.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)
![[external Link]: Siag](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/dd32e81c-8456-4c46-803a-21a6983881c3/siag.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)