- 27,646
- 46
- 8 Ноя 2022
Бесплатные версии оказались надёжнее коммерческих продуктов и сохранили данные в неприкосновенности.
Официальные обновления WordPress -плагинов обычно воспринимаются как безопасный путь исправлений, но в случае ShapedPlugin именно этот канал доставил заражённые версии платным клиентам.
По данным Wordfence, злоумышленники внедрили вредоносный код в сборки трёх коммерческих плагинов: Product Slider Pro для WooCommerce, Real Testimonials Pro и Smart Post Show Pro. Бесплатные версии на WordPress.org остались чистыми, что указывает на компрометацию инфраструктуры выпуска ShapedPlugin, а не всего проекта.
Атака началась 21 мая, когда в Pro-сборки попал вредоносный файл LicenseLoader.php. Первые жалобы клиентов появились 10 июня, специалисты Wordfence подтвердили заражение 12 июня после загрузки файлов с сайта разработчика, а ShapedPlugin признала инцидент 16 июня.
Механизм работал через панель администратора WordPress. Когда администратор заходил в консоль сайта, вредоносный загрузчик связывался с командным сервером, скачивал второй этап атаки и ставил скрытый фальшивый плагин под видом компонентов WooCommerce. После установки загрузчик удалял себя, чтобы скрыть следы.
Поддельный плагин пытался похищать логины, пароли, сессионные cookie, роли пользователей, данные двухфакторной аутентификации, ключи WordPress из wp-config.php, сведения об администраторах, SMTP-доступы и данные заказов WooCommerce за последние три месяца, включая информацию о способах оплаты. Кроме кражи данных, бэкдор давал операторам возможность удалённо записывать файлы на заражённые сайты.
Инцидент отслеживается как CVE-2026-10735 , ещё один номер, CVE-2026-49777 , подали как дубликат. ShapedPlugin заявила, что проверяет обновлённые сборки перед распространением. По данным Wordfence, исправленные версии уже доступны для Product Slider Pro 3.5.4 и Smart Post Show Pro 4.0.2, а Real Testimonial Pro получил версию 3.2.6. При этом поставщик пообещал выпустить отдельное заявление после подтверждения Wordfence, что обновления полностью закрыли проблему.
Администраторам сайтов с этими платными плагинами нужно обновить затронутые продукты, проверить наличие скрытых поддельных плагинов woocommerce-subscription и woocommerce-notification, сбросить пароли, заново выпустить секреты двухфакторной аутентификации и проверить список пользователей на неизвестные учётные записи.
Официальные обновления WordPress -плагинов обычно воспринимаются как безопасный путь исправлений, но в случае ShapedPlugin именно этот канал доставил заражённые версии платным клиентам.
По данным Wordfence, злоумышленники внедрили вредоносный код в сборки трёх коммерческих плагинов: Product Slider Pro для WooCommerce, Real Testimonials Pro и Smart Post Show Pro. Бесплатные версии на WordPress.org остались чистыми, что указывает на компрометацию инфраструктуры выпуска ShapedPlugin, а не всего проекта.
Атака началась 21 мая, когда в Pro-сборки попал вредоносный файл LicenseLoader.php. Первые жалобы клиентов появились 10 июня, специалисты Wordfence подтвердили заражение 12 июня после загрузки файлов с сайта разработчика, а ShapedPlugin признала инцидент 16 июня.
Механизм работал через панель администратора WordPress. Когда администратор заходил в консоль сайта, вредоносный загрузчик связывался с командным сервером, скачивал второй этап атаки и ставил скрытый фальшивый плагин под видом компонентов WooCommerce. После установки загрузчик удалял себя, чтобы скрыть следы.
Поддельный плагин пытался похищать логины, пароли, сессионные cookie, роли пользователей, данные двухфакторной аутентификации, ключи WordPress из wp-config.php, сведения об администраторах, SMTP-доступы и данные заказов WooCommerce за последние три месяца, включая информацию о способах оплаты. Кроме кражи данных, бэкдор давал операторам возможность удалённо записывать файлы на заражённые сайты.
Инцидент отслеживается как CVE-2026-10735 , ещё один номер, CVE-2026-49777 , подали как дубликат. ShapedPlugin заявила, что проверяет обновлённые сборки перед распространением. По данным Wordfence, исправленные версии уже доступны для Product Slider Pro 3.5.4 и Smart Post Show Pro 4.0.2, а Real Testimonial Pro получил версию 3.2.6. При этом поставщик пообещал выпустить отдельное заявление после подтверждения Wordfence, что обновления полностью закрыли проблему.
Администраторам сайтов с этими платными плагинами нужно обновить затронутые продукты, проверить наличие скрытых поддельных плагинов woocommerce-subscription и woocommerce-notification, сбросить пароли, заново выпустить секреты двухфакторной аутентификации и проверить список пользователей на неизвестные учётные записи.
- Источник новости
- www.securitylab.ru
