Site-ul găzduit pe WordPress al ILSpy, browser-ul și decompilator open-source pentru ansambluri .NET foarte utilizat, a fost compromis luni dimineața devreme pentru a distribui malware către dezvoltatorii de software vizitatori, conform mai multor surse de securitate cibernetică. Breșa a fost detectată în jurul orei 1:22 a.m. ET pe 6 aprilie, cu cel puțin un cercetător capturând atacul pe video.
Un instrument de dezvoltare de încredere devenit periculos
ILSpy, menținut sub organizația icsharpcode pe GitHub, este unul dintre cele mai populare instrumente din ecosistemul .NET. Permite dezvoltatorilor să decompileze fișiere binare .NET compilate înapoi în cod sursă C# lizibil și este folosit de ingineri software, auditori de securitate și educatori din întreaga lume. Chiar Visual Studio integrează motorul de decompilare ILSpy.
Domeniul compromis este site-ul web al proiectului bazat pe WordPress, care este separat de depozitul GitHub al ILSpy unde sunt găzduite codul sursă al instrumentului și versiunile oficiale. Hackerii au compromis site-ul WordPress și au redirecționat vizitatorii pentru a distribui malware, transformând ceea ce dezvoltatorii considerau o resursă legitimă într-un vector de atac.
Parte dintr-un peisaj mai larg de amenințări pentru WordPress
Incidentul survine în contextul unei creșteri a campaniilor care vizează site-uri găzduite pe WordPress pentru a distribui infostealere. În martie, cercetătorii de la Rapid7 au documentat o campanie în curs, extrem de automatizată, care a compromis peste 250 de site-uri WordPress din cel puțin 12 țări, inclusiv site-uri aparținând unor publicații media regionale, întreprinderi mici și unui candidat la Senatul SUA. Acea campanie, activă cel puțin din decembrie 2025, a utilizat cod injectat pentru a afișa vizitatorilor pagini false de CAPTCHA Cloudflare care induceau în eroare utilizatorii să execute comenzi ce descărcau malware pentru furtul de credențiale.
Malwarebytes a raportat separat în martie că site-uri WordPress compromise erau folosite pentru a livra infostealer-ul Vidar prin intermediul paginilor false de tip „verifică că ești om”. The Hacker News a detaliat de asemenea o campanie ClickFix care a exploatat site-uri legitime compromise pentru a implementa un troian de acces de la distanță numit MIMICRAT.
Infrastructura pentru dezvoltatori sub asediu
Breșa de securitate a ILSpy evidențiază un pattern mai larg al atacatorilor care vizează infrastructura legată de instrumentele open-source pentru dezvoltatori. Atacurile asupra lanțului de aprovizionare vizând registrele de pachete și site-urile web ale proiectelor s-au intensificat în ultimele luni, cu campanii precum viermele Shai-Hulud care a compromis sute de pachete npm și atacuri separate care vizează PyPI și alte ecosisteme. Compromițând site-urile web și canalele de distribuție în care dezvoltatorii au încredere, atacatorii obțin o cale directă către ținte de mare valoare — mașini încărcate cu credențiale, chei API și acces la sistemele de producție.
Dezvoltatorii care au vizitat recent site-ul WordPress al ILSpy ar trebui să-și scaneze sistemele pentru semne de compromitere. Repository-ul GitHub al proiectului și versiunile sale oficiale rămân canalul cel mai sigur pentru obținerea ILSpy.
Surse:
https://github.com/icsharpcode/ilspy/security
Hackers Breach ILSpy WordPress Domain to Distribute Malware
Hackers Breach ILSpy WordPress Domain to Deliver Malware