Sucuri lance l’alerte : près de 5500 sites Web basés sur Wordpress cachent – à leur insu – un logiciel espion collectant les saisies au clavier effectuées tant que l’internaute est sur le site. Le code malveillant est écrit en JavaScript et ajouté discrètement au code HTML généré par Wordpress via le fichier function.php du thème utilisé.
Le piège ne manque pas subtilité : un outil de surveillance tel que X-Fence de F-Secure, sur Mac, signale les anomalies dans le fonctionnement d’applications, et en particulier lorsqu’elles commencent à accéder à la Webcam, ou à intercepter mouvements de la souris et frappes clavier. Mais là, rien : suivre ce qui est tapé au clavier est normal pour le navigateur Web. Et la surveillance de ses processus ne descend pas jusqu’au code Javascript interprété…
Sucuri a alerté, fin septembre, sur l’injection de code JavaScript de cryptomining à l’insu des propriétaires des sites concernés, Wordpress comme Magento. Mais les cyber-délinquants à l’origine de ces détournements n’en sont pas à leur premier coup : Sucuri les avait déjà observés au printemps. Alors ils n’en sont peut-être pas non plus à leur dernier coup.
Article LeMagIT.fr
