האקרים פורצים אתרי וורדפרס על ידי ניצול פגיעות בגרסאות מיושנות של התוסף Popup Builder ומדביקים למעלה מ- 3,300 אתרי וורדפרס בנוזקות. פגם האבטחה הינו פגיעות סקריפטים בין-אתרים (XSS) המשפיע על תוסף Popup Builder בגרסאות 4.2.3 ומעלה. פגם אבטחה זה נחשף לראשונה בנובמבר 2023. מסע מתקפות הסייבר של Balada Injector שנחשף בתחילת השנה ניצל את פגם האבטחה כדי להדביק אתרי וורדפרס בנוזקות, מה שמעיד על כך שמנהלי אתרים רבים לא טיפלו מספיק מהר בפגם האבטחה.
כעת מדווח אתר Sucuri על זיהוי מסע מתקפות סייבר בעלייה בולטת בשלושת השבועות האחרונים, המכוון לאותה פגיעות בתוסף וורדפרס. המתקפות מדביקות את הקטעים Custom JavaScript או Custom CSS של ממשק הניהול של וורדפרס, בעוד שהקוד הזדוני מאוחסן בטבלת מסד הנתונים wp_postmeta. הפונקציה העיקרית של הקוד המוזרק היא לפעול כמטפלי אירועים עבור אירועי פלאגין Popup Builder שונים, כגון 'sgpb-ShouldOpen', 'sgpb-ShouldClose', 'sgpb-WillOpen', 'sgpbDidOpen', 'sgpbWillClose' ו- 'sgpb-DidClose.' על ידי כך מופעל קוד זדוני בפעולות ספציפיות של התוסף, כמו כאשר נפתח או נסגר חלון קופץ.
אנשי אתר Sucuri טוענים שהפעולות המדויקות של הקוד עשויות להשתנות, אבל נראה שהמטרה העיקרית של ההזרקות היא הפניית מבקרים באתרי וורדפרס נגועים, ליעדים זדוניים כמו דפי דיוג ואתרים להורדת נוזקות. חשוב לציין כי באופן מעשי, יכולים ההאקרים להשיג מגוון מטרות זדוניות באמצעות שיטה זו, רבות עלולות להיות חמורות יותר מהפניות מחדש.
הנתונים הסטטיסטיים של וורדפרס מראים שלפחות 80,000 אתרים פעילים משתמשים כיום ב- Popup Builder 4.1 ומעלה, כך שמישור ההתקפה נותר משמעותי. לבעלי אתרי וורדפרס המשתמשים בתוסף Popup Builder מומלץ לשדרג לגרסה העדכנית ביותר, כרגע 4.2.7, הנותנת מענה לפגם האבטחה ולבעיות אבטחה אחרות.