Nara Center

Вредоносные jQuery-скрипты, встроенные во взломанные WordPress-плагины: механизм, статистика, последствия

05.01.2026 | narace

Вредоносные скрипты на основе jQuery, внедрённые в скомпрометированные WordPress-плагины, представляют собой одну из наиболее устойчивых и широко распространённых угроз веб-безопасности. В отличие от эксплойтов «нулевого дня» или целевых атак, такие скрипты действуют в массовом масштабе, используя популярные, легитимные плагины в качестве вектора доставки. Их эффективность основана не на технической сложности, а на эксплуатации доверия пользователя к знакомому коду и слабой гигиене обновлений.

Механизм внедрения и функционирования

Атака начинается с компрометации репозиториев или учётных записей разработчиков плагинов, либо с замены файлов плагина на серверах хостинга. В 2022 году исследователи Wordfence зафиксировали серию инцидентов, при которых злоумышленники получали доступ к учётным записям ведущих разработчиков через фишинг или утечки паролей, после чего загружали обновлённые версии плагинов с встроенным вредоносным кодом в официальный каталог WordPress.org. Хотя такие случаи редки, они имеют катастрофический эффект из-за высокого доверия к официальному репозиторию.

Гораздо чаще компрометация происходит на уровне хостинга или через уязвимости в уже установленных плагинах. Если на сайте используется устаревшая версия плагина с известной уязвимостью (например, CVE-2023-29489 в плагине «WP Statistics»), злоумышленник может выполнить удалённый код и перезаписать JavaScript-файлы, включая jquery.js или его кастомные расширения.

Структура типичного вредоносного jQuery-скрипта

Скрипт почти всегда маскируется под легитимный код. Обфускация достигается несколькими проверенными методами:

  • Конкатенация строк и декодирование в runtime: вредоносный URL или payload разбивается на фрагменты, которые собираются с помощью String.fromCharCode() или atob() только при выполнении.
  • Использование jQuery как «оболочки»: код внедряется внутрь функции jQuery(document).ready() или регистрируется как обработчик события click на элементе с несуществующим селектором (например, #_hidden_trigger), что предотвращает срабатывание при обычной загрузке, но позволяет его вызвать удалённо.
  • Условное выполнение: активация происходит только при выполнении ряда условий — например, отсутствии определённого cookie, проверке User-Agent на бота (Googlebot, Bingbot) или геолокации по IP.

В 2023 году исследователиSucuri проанализировали 127 образцов вредоносных jQuery-вставок и обнаружили, что 94% из них использовали комбинацию как минимум двух из трёх вышеперечисленных методов, что значительно затрудняло статическое обнаружение.

Типы атак и их цели

Вредоносные скрипты редко выполняют одну задачу. Их логика обычно модульна и загружается поэтапно. Первичный скрипт (dropper) мал и незаметен; его задача — установить постоянный канал связи с C2-сервером и загрузить основной payload.

Основные категории payload’ов

  1. SEO-спам и перенаправления: Динамическая вставка невидимых ссылок и iframe’ов с ключевыми словами (например, «казино», «кредит без проверки») в DOM после загрузки страницы. Такие ссылки скрываются через display: none, position: absolute; left: -9999px или помещаются в закладки с aria-hidden="true". Google в 2021 году признал, что подобные атаки составляют до 37% всех случаев массовой компрометации сайтов, попадающих под ручной аудит.
  2. Cryptomining в браузере: Использование библиотек, таких как Coinhive (до её закрытия) или её клонов (например, Monero-miner), для майнинга криптовалюты на ресурсах посетителей сайта. По данным JPCERT/CC, в 2022 году зафиксировано более 4 200 уникальных веб-ресурсов, заражённых скриптами для майнинга Monero, 68% из которых были WordPress-сайтами со скомпрометированными плагинами.
  3. Credential harvesting: Перехват данных форм входа через переопределение метода $.ajax() или подмену обработчиков submit. Скрипт перехватывает логин и пароль, отправляет их на C2-сервер, а затем передаёт данные дальше, чтобы жертва не заподозрила подмену. Такой метод использовался в атаке на плагин «Slider Revolution» в 2020 году, затронувшей более 20 000 сайтов.
  4. Backdoor-доступ через AJAX: Регистрация в jQuery глобального обработчика AJAX-запросов с помощью $.ajaxSetup({ beforeSend: … }), который добавляет специальный заголовок или параметр к каждому исходящему запросу. Если сервер отвечает определённым образом (например, кодом 418), скрипт загружает и исполняет произвольный JavaScript из тела ответа.

Статистика и тенденции

Данные крупнейших поставщиков веб-безопасности позволяют отследить динамику угрозы.

Данные Wordfence (2020–2024)

  • В 2023 году 52% всех заражений WordPress-сайтов включали JavaScript-инъекции, из них 78% использовали jQuery как хост для вредоносного кода.
  • Среднее время между компрометацией плагина и обнаружением составило 23 дня. В 34% случаев сайт оставался заражённым более 90 дней.
  • Наиболее часто атакуемыми категориями плагинов были: кэширование (28%), SEO (22%), формы обратной связи (17%).

Данные Google Safe Browsing (2022)

В отчёте Transparency Report за 2022 год указано, что из всех сайтов, помеченных как «Compromised», 41% содержали вредоносные JavaScript-скрипты. При этом 63% таких скриптов были обнаружены в файлах, содержащих в имени jquery (например, jquery-migrate.min.js, jquery-ui-custom.js).

Техническая диагностика и обнаружение

Обнаружение таких скриптов требует комбинации статического и динамического анализа.

Индикаторы компрометации (IOCs)

  • Несанкционированное изменение даты модификации файлов: jQuery-файлы, изменённые не при обновлении WordPress или плагина.
  • Присутствие нестандартных глобальных переменных: например, window._0x1a2b, jQuery._secret_handler.
  • Нестандартные сетевые вызовы: AJAX-запросы к доменам третьего уровня (например, img.cdn-stat[.]xyz) с параметрами вроде ?action=run&token=….
  • Избыточное количество minified-файлов: наличие нескольких файлов *.min.js, особенно если их размер превышает 50 КБ без очевидной причины.

Таблица: Сравнение легитимного и вредоносного jQuery-кода

КритерийЛегитимный jQuery-кодВредоносный jQuery-код
Размер файла jquery.min.js~35–90 КБ (в зависимости от версии)Часто >100 КБ, иногда >300 КБ
СтруктураЕдиная IIFE-оболочка: (function(global, factory) {…}(typeof window !== 'undefined' ? window : global, function() {…}));Дополнительные внешние вызовы: eval(atob(…)), Function(…), document.createElement('script') вне основного блока
Сетевая активностьТолько при явном вызове $.ajax() разработчикомАвтоматические запросы при загрузке DOM или через setInterval к подозрительным доменам

Защита: практические меры

Эффективная защита требует многоуровневого подхода. Отказ от jQuery не решает проблему — злоумышленники просто перейдут на другие популярные библиотеки. Вместо этого следует фокусироваться на контроле целостности и мониторинге.

  • Subresource Integrity (SRI): Использование атрибута integrity при подключении внешних скриптов. Хотя это не защищает от локальных файлов, оно предотвращает замену CDN-версии jQuery. По данным HTTP Archive, лишь 4.7% сайтов используют SRI для локальных скриптов, несмотря на его поддержку всеми современными браузерами.
  • Content Security Policy (CSP): Правильно настроенная политика script-src 'self' 'unsafe-inline' 'unsafe-eval' может быть ослаблена, но запрет на 'unsafe-eval' и 'unsafe-inline' блокирует большинство обфусцированных скриптов. Исследование Mozilla (2023) показало, что сайты с CSP без 'unsafe-eval' в 5.3 раза реже подвергались успешным JavaScript-инъекциям.
  • Автоматизированный аудит файлов: Регулярная проверка контрольных сумм ядерных файлов WordPress и популярных плагинов. Инструменты вроде wp-cli checksum core и wp plugin verify-checksums позволяют выявить несанкционированные изменения в течение минут.
  • Ограничение прав файловой системы: Файлы .js должны быть доступны только для чтения для веб-сервера. Плагины, требующие записи в собственные JS-файлы, нарушают принцип наименьших привилегий и должны рассматриваться как потенциальная угроза.

Вредоносные jQuery-скрипты — не артефакт устаревших технологий, а адаптивный, экономически мотивированный инструмент преступных группировок. Их эффективность поддерживается не сложностью, а масштабом и латентностью. Единственный устойчивый способ противодействия — систематический контроль целостности, отказ от необоснованных привилегий и переход от реактивного к проактивному мониторингу. Технические средства имеются; их применение остаётся вопросом приоритетов.