Инжектор Balada заразил 6700 WordPress-сайтов через дыру в Popup Builder

Инжектор Balada заразил 6700 WordPress-сайтов через дыру в Popup Builder

Инжектор Balada заразил 6700 WordPress-сайтов через дыру в Popup Builder

Более 6700 сайтов на WordPress стали жертвой новой кампании киберпреступников, эксплуатирующих уязвимость в плагине Popup Builder. Атакующие устанавливают на скомпрометированные ресурсы инжектор Balada.

Напомним, именно Balada атаковал WordPress-сайты с 2017 года. С той поры жертвами вредоноса стали около миллиона ресурсов, работающих на популярной системе управления контентом.

Свежая кампания операторов Balada стартовала 13 декабря 2023 года, спустя два дня после публикации информации об уязвимости CVE-2023-6000. Эта брешь является классическим межсайтовым скриптингом (XSS) и затрагивает плагин Popup Builder версий 4.2.3 и старше.

Согласно статистике, Popup Builder установлен на 200 тысяч сайтов. Как правило, администраторы с его помощью создают кастомные всплывающие окна в маркетинговых целях.

Специалисты Sucuri отметили оперативность, с которой авторы Balada дополнили свои атаки эксплойтом для CVE-2023-6000. В отчёте приводится кусок вредоносного JavaScript-кода, запускаемый при демонстрации всплывающего окна:

 

Злоумышленники задействуют и другой метод инъекции, модифицируя файл wp-blog-header.php для внедрения JavaScript-бэкдора. Далее атакующие ищут администраторские cookies и загружают дополнительные наборы скриптов.

Торвальдс охладил хайп: Rust и ИИ не спасут Linux от плохого кода

Линус Торвальдс снова разложил всё по полкам и без лишнего поклонения модным технологиям. На Open Source Summit India 2026 создатель Linux рассказал, что ядро развивается без блокбастерных релизов: не резкие скачки, а спокойное постоянное улучшение. Такой подход он предпочитает с тех пор, как появился Git.

По словам Торвальдса, ИИ начал находить интересные баги, и это заметно напрягает сообщество.

Проблема не только в реальных уязвимостях, но и в мусоре: LLM могут генерировать отчёты, которые выглядят правдоподобно, но оказываются галлюцинациями. Людям потом приходится тратить время, чтобы доказать, что ошибки на самом деле не существует.

Торвальдс признал, что сам почти не пишет код и теперь скорее руководит разработкой, чем программирует. Его работа — понимать общий смысл изменений, разбирать пулл-реквесты и следить, чтобы в ядро не прилетало что попало в последний момент. Технические баги, говорит он, чинить проще, чем человеческие конфликты.

Отдельно досталось Rust. Торвальдс считает язык интересным, но не верит, что он захватит мир. По его словам, Rust помогает избежать части простых ошибок, характерных для C, но не спасает от плохой логики. Если программист написал неправильный код, язык за него думать не начнёт. А в смешанных C/Rust-проектах гарантии Rust работают только там, где код действительно остаётся внутри Rust-модулей.

ИИ Торвальдс тоже не списывает со счетов. Он использует LLM для собственных небольших проектов и прототипов, но для исправлений уровня ядра Linux, по его мнению, такие инструменты пока недостаточно надёжны. Если ИИ нашёл баг, мало просто закинуть отчёт разработчикам, нужен человек, который проверит проблему, предложит патч и доведёт обсуждение до результата.

RSS: Новости на портале Anti-Malware.ru