WordPress ha rimosso dal suo repository il plugin conosciuto come “Animated Weather Widget by weatherfor.us.”
Abbiamo approfondito e sembra che il plugin sia stato rimosso perché include del codice JavaScript che minerebbe la crittografia utilizzando le risorse della CPU dei visitatori del sito.
Lo script lavorerebbe in questo modo:
- il proprietario installa il plugin;
- il plugin carica un Iframe che consente al proprietario di includere qualsiasi codice che desideri nei browser di visitatori e di modificare il codice in qualsiasi momento;
- L’iframe carica il codice da CoinHive. L’attività mineraria utilizza risorse significative per i visitatori del sito;
- Gli utili vengono restituiti a CoinHive e accreditati nel conto bancario del proprietario dell’account. Presumibilmente, il proprietario dell’account in questo caso è il proprietario del plugin “Animated Weather Widget”. CoinHive mantiene il 30% dei profitti.
Ciò consente al proprietario del plugin di guadagnare soldi utilizzando le risorse CPU dei visitatori di siti che utilizzano il plugin “Animated Weather Widget”.
Di seguito uno screenshot che mostra un iframe che viene caricato dal dominio www.weatherfor.us. In questo, mostriamo il JavaScript che carica il codice CoinHive che effettua effettivamente l’estrazione mineraria.
Abbiamo scoperto che la visita di un sito che include questo codice di estrazione CoinHive Monero attraverso questo plugin genera una quantità enorme di utilizzo della CPU. Ciò diventa visibile quando i raffreddamenti della CPU aumentano i loro RPM (giri per minuto).
E’ chiaro che negli ultimi due anni gli autori del plugin di WordPress sperimentano una vasta gamma di modelli di business. Ciò porta agli autori di plugin che incorporano un codice che potrebbe produrre spam nei siti web, vendere i propri plugin a soggetti poco raccomandabili per consentire loro, come in questo caso attraverso l’uso di risorse web browser, di fare reddito.
Forse se ci fosse una guida e un tutoraggio chiaro all’interno della comunità per gli autori di plugin su come guadagnarsi da vivere dai loro plugin, questo problema non sarebbe così prevalente. Ad esempio App Store di Apple e ad altri, in cui esiste un chiaro modello di business con una guida chiara che ha consentito la creazione di un ecosistema sano e un finanziamento per eliminare gli attori peggiori.
(tradotto da wordfence blog)
