Meerdere WordPress-plug-ins van ShapedPlugin werden gecompromitteerd tijdens een supply chain-aanval nadat onbekende bedreigingsactoren erin slaagden de officiële releasekanalen te manipuleren en achterdeurcode te pushen.
“Aanvallers hebben de bouw- en distributiepijplijn van de leverancier gecompromitteerd door achterdeurcode te injecteren in Pro-plug-in-releases die worden verspreid via officieel gelicentieerde updatekanalen”, zei Wordfence in een analyse die vorige week werd gepubliceerd.
Het incident heeft gevolgen voor de volgende plug-ins:
- Product Slider Pro voor WooCommerce (versies vóór 3.5.4)
- Real Testimonials Pro (versie 3.2.5)
- Smart Post Show Pro (versies vóór 4.0.2)
Zoals hierboven vermeld, is het de moeite waard om te benadrukken dat het compromis alleen van invloed is op Pro-plug-in-builds die worden gedistribueerd via de Easy Digital Downloads (EDD)-infrastructuur van de leverancier via account. Shaped Plugin (.) Com. De gratis versies van de plug-ins op WordPress.org worden niet beïnvloed.
Het compromis in de toeleveringsketen dat verband houdt met Product Slider Pro voor WooCommerce heeft de CVE-identificatiecode CVE-2026-49777 toegewezen gekregen, samen met een CVSS-score van 10,0, wat de maximale ernst aangeeft. CVE-2026-10735 (CVSS-score: 9,8) is de CVE-identificatie voor het gehele incident.
Het WordPress-beveiligingsbedrijf zei dat de gecompromitteerde versies van de plug-ins een lader bevatten die op elke beheerderspagina wordt geactiveerd, waardoor deze een payload ophaalt van een externe server (“194.76.217(.)28:2871”), deze installeert en activeert als een nep-plug-in.
Zodra de malware is geactiveerd, rapporteert de malware het slachtofferdomein terug aan de server en wist zichzelf om de sporen te verbergen en de respons op incidenten te bemoeilijken. De nagemaakte plug-in verbergt zichzelf op de WordPress-lijst met plug-ins voor beheerders en is in staat inloggegevens vast te leggen in leesbare tekst en tweefactorauthenticatiecodes (2FA).
Het biedt ook meerdere persistentiemethoden die het mogelijk maken om willekeurig bestanden te schrijven via een aangepast REST-eindpunt wanneer een specifiek authenticatietoken wordt verstrekt, en een webshell met functies voor het uitvoeren van opdrachten te laten vallen. Ten slotte maakt het gebruik van een PHP-bestand met de naam “install-persistent.php”, dat is gebundeld als onderdeel van de plug-in, om de onderstaande gegevens te extraheren:
- Volledige inhoud van wp-config.php, inclusief databasegegevens, authenticatiesleutels en foutopsporingsinstellingen
- Alle beheerdersaccounts met registratiedatums
- Inloggegevens voor e-mailplug-ins van WP Mail SMTP, Post SMTP en Easy WP SMTP
- WooCommerce-bestelgegevens van de afgelopen 3 maanden met uitsplitsing van de betaalmethode
Zodra deze informatie wordt weergegeven, wordt het bestand verwijderd. Er zijn aanwijzingen dat de aanval een compromis zou kunnen zijn van de bouwpijplijn, in tegenstelling tot een directe vergiftiging van de pakketten.
Het bijzondere aan deze aanval is dat site-eigenaren die legitieme licenties hebben aangeschaft en updates rechtstreeks via het officiële updatesysteem van de leverancier hebben geïnstalleerd, worden blootgesteld aan malware.
Na op de hoogte te zijn gesteld van het probleem, heeft ShapedPlugin het incident bevestigd en eraan toegevoegd dat het de distributie- en releaseprocessen aan het herzien is om de integriteit van zijn producten in de toekomst te garanderen. Er wordt verwacht dat er nieuwe versies van de getroffen plug-ins zullen worden uitgebracht in afwachting van uitgebreide beveiligingsbeoordelingen en validatietests.
Site-eigenaren die de kwaadaardige versies hebben geïnstalleerd, wordt aangeraden om alle wachtwoorden opnieuw in te stellen, 2FA-geheimen voor alle gebruikers in te trekken en opnieuw te genereren, beheerdersaccounts te controleren op ongeautoriseerde toevoegingen en de configuraties van e-mailplug-ins te controleren op gewijzigde SMTP-inloggegevens.
