Varios complementos de WordPress de ShapedPlugin se vieron comprometidos en un ataque a la cadena de suministro después de que un atacante desconocido manipuló los canales de lanzamiento oficiales y empujó un código de puerta trasera.
«Los atacantes comprometieron el proceso de construcción y distribución del proveedor e inyectaron código de puerta trasera en las versiones de complementos Pro distribuidos a través de canales de actualización con licencia oficial», dijo Wordfence en un análisis publicado la semana pasada.
Este incidente afecta a los siguientes complementos:
Product Slider Pro para WooCommerce (versiones anteriores a la versión 3.5.4) Real Testimonials Pro (versión 3.2.5) Smart Post Show Pro (versiones anteriores a la versión 4.0.2)
Como se mencionó anteriormente, vale la pena enfatizar que esta infracción solo afecta a las compilaciones de complementos Pro distribuidas a través de la infraestructura Easy Digital Downloads (EDD) del proveedor (account.shapeplugin(.)com). La versión gratuita del complemento en WordPress.org no se ve afectada.
A la violación de la cadena de suministro relacionada con Product Slider Pro de WooCommerce se le asignó el identificador CVE CVE-2026-49777 y una puntuación CVSS de 10.0, lo que indica la gravedad máxima. CVE-2026-10735 (puntuación CVSS: 9,8) es el identificador CVE para todo el incidente.
Según la empresa de seguridad de WordPress, la versión comprometida del complemento incluye un cargador que se activa en cada página de administración, recupera la carga útil de un servidor remoto (“194.76.217(.)28:2871”), lo instala y lo activa como un complemento falso.
Una vez activado, el malware informa el dominio de la víctima a sus servidores y se borra, ocultando sus huellas y complicando los esfuerzos de respuesta a incidentes. Por otro lado, los complementos falsificados pueden ocultarse de la lista de complementos de administración de WordPress y capturar credenciales en texto sin formato y códigos de autenticación de dos factores (2FA).
También establece múltiples métodos de persistencia que permiten la escritura de archivos arbitrarios a través de un punto final REST personalizado cuando se le proporciona un token de autenticación específico, y también elimina un shell web con capacidades de ejecución de comandos. Finalmente, utilice el archivo PHP llamado «install-persistent.php» que se incluye como parte del complemento para extraer los siguientes datos:
Contenido completo de wp-config.php, incluidas las credenciales de la base de datos, las claves de autenticación y la configuración de depuración. Todas las cuentas de administrador con fecha de registro. Credenciales del complemento de correo electrónico de WP Mail SMTP, Post SMTP y Easy WP SMTP. Desglose de los datos de pedidos de WooCommerce y los métodos de pago de los últimos 3 meses.
Una vez que se muestre esta información, el archivo se eliminará. La evidencia indica que este ataque puede ser un compromiso del proceso de construcción en lugar de una contaminación directa del paquete.
Lo que es particularmente peligroso de este ataque es que expone al malware a los propietarios de sitios que compraron licencias legítimas e instalaron actualizaciones directamente desde el sistema de actualización oficial del proveedor.
ShapedPlugin, que fue notificado del problema, reconoció el incidente y agregó que está revisando sus procesos de distribución y lanzamiento para garantizar la integridad de productos futuros. Se lanzarán nuevas versiones de los complementos afectados en espera de una revisión de seguridad exhaustiva y pruebas de validación.
Se recomienda a los propietarios de sitios que hayan instalado la versión maliciosa que restablezcan todas las contraseñas, revoquen y regeneren los secretos 2FA para todos los usuarios, verifiquen si hay adiciones no autorizadas a las cuentas de administrador y verifiquen la configuración del complemento de correo electrónico para ver si hay cambios en las credenciales SMTP.
Source link
