Balada Injector
A Balada Injector kampány több mint 17 000 WordPress-webldalt fertőzött meg a prémium témabővítmények ismert hibái miatt. A hátsó ajtó átirányítja a feltört weboldal látogatóit hamis műszaki támogatási oldalakra, csaló lottónyereményekre és egyéb csaló oldalakra, tehát vagy átverési kampányok része, vagy csalóknak értékesített szolgáltatás.
A csalók kihasználják a CVE-2023-3169 cross-site scripting (XSS) hibát a tagDiv Composerben, amely egy kiegészítő eszköz a tagDiv Newspaper és Newsmag témáihoz WordPress-honlap motorokon. Az EnvatoMarket nyilvános statisztikái szerint a Newspapernek 137 000 használója van, a Newsmagnak pedig több mint 18 500, tehát a támadási felület 155 500 weboldalt érinthet.
A beépülő modul lehetővé tette a fenyegetés szereplői számára, hogy távolról PHP-kódot küldjenek, amelyet a /tmp/i mappába mentenek és végrehajtanak. A támadásokat az is jellemezte, hogy kódot fecskendeztek a sablonokba, amelyek átirányították a felhasználókat a támadó irányítása alatt álló átverési weboldalakra.