Ciberatacantes están usando la biblioteca jQuery para inyectar código malicioso en sitios web que hacen uso de la tecnología WordPress y Joomla. Desde noviembre de 2015, Avast ha registrado más de 4,5 millones de usuarios infectados.

El código malicioso se encontró en casi 70 millones de archivos únicos en los sitios web afectados.

De acuerdo con el investigador de Avast Alexej Savcin, las inyecciones falsas jQuery han sido muy populares entre los atacantes porque la propia jQuery es muy popular.

"JQuery es una biblioteca de JavaScript muy popular", explicó en un blog. "El objetivo básico de esta biblioteca es borrar las diferencias entre las implementaciones de JavaScript en varios navegadores web. Si alguna vez ha tratado con código web sabe lo tedioso que puede ser que el código se comporte de la misma manera en diferentes navegadores. A veces es realmente un gran desafío. En tales situaciones esta biblioteca puede ser muy útil”.

Tal vez era cuestión de tiempo hasta que la biblioteca atrajera la atención de aquellos que quieren utilizarla para diferentes fines distintos a la codificación web.

Savcin dijo que una de las infecciones más populares de los últimos dos meses es el ataque que inyecta falsa escritura de jQuery en la sección head de sitios web con tecnología de WordPress y Joomla. El script es un poco sigiloso, el investigador señaló que por su ubicación hace que los visitantes normales no noten algo extraño a menos que se vean el código fuente.

Una vez que se examina el código "a primera vista se ve que el código simple no está ofuscado", dijo. "No son sólo unas pocas variables y una instrucción IF que inserta otra fuente de JavaScript. Lo único que cambia es " var base = ' que apunta a otro sitio web hackeado que sirve como fuente de script malicioso inyectado".

El número de dominios hackeado (70 millones) que se utilizan como fuente para el código malicioso JS es anormalmente alta por lo que este tipo de ataque fue y sigue siendo muy popular cada día.

Para remediar el problema Savcin recomienda comenzar con lo básico: "Restablecer la contraseña. Si esto no ayuda puede aprovechar herramientas como phpMyAdmin y Adminer para acceder a su base de datos directamente, sin pasar por la página de inicio de sesión del administrador y restablecer su usuario en la tabla de usuarios ", se aconsejó. Una vez dentro la base de datos y archivos del sitio deben ser restaurados a partir de una versión de copia de seguridad. Una vez limpios los webmasters no deben olvidar actualizar sus instalaciones; versiones más antiguas son naturalmente más propensos a los ataques que las versiones más recientes.