Неизвестные злоумышленники взломали систему обновлений популярного плагина Smart Slider 3 Pro для WordPress и Joomla. Им удалось распространить через официальный канал заражённую версию, содержащую скрытую вредоносную функцию — бэкдор.
Инцидент затронул версию 3.5.1.35 для WordPress. Об этом сообщила компания Patchstack, специализирующаяся на безопасности WordPress. Smart Slider 3 — очень востребованный слайдер-плагин: суммарно бесплатную и платную версии активно используют более 800 тысяч сайтов.
По данным Patchstack, злоумышленники получили несанкционированный доступ к инфраструктуре обновлений компании Nextend (разработчика плагина) и распространили через штатный канал обновлений полностью вредоносную сборку. Любой сайт, который обновился до версии 3.5.1.35 в промежуток между её появлением 7 апреля 2026 года и обнаружением (примерно через 6 часов), получил полнофункциональный удалённый инструмент управления с расширенными возможностями.
Сама Nextend подтвердила: посторонние вторглись в систему обновлений и выложили вредоносную версию (3.5.1.35 Pro). Она оставалась доступной около шести часов, после чего её обнаружили и удалили.
Троянизированное обновление позволяет злоумышленнику создавать скрытые учётные записи администратора, а также внедрять бэкдоры. Через HTTP-заголовки можно выполнять команды на уровне операционной системы сервера, а через скрытые параметры запроса — запускать произвольный PHP-код.
Согласно анализу Patchstack, вредоносное ПО обладает следующим набором возможностей:
Удалённое выполнение кода до аутентификации. Для этого используются специальные HTTP-заголовки, например X-Cache-Status и X-Cache-Key. В последнем как раз и содержится код, который передаётся в функцию shell_exec().
Бэкдор с двумя режимами исполнения. Атакующий может выполнять как произвольный PHP-код, так и команды операционной системы прямо на сервере.
Создание скрытой учётной записи администратора. Например, пользователь с именем wpsvc_a3f1. Эта запись не отображается для легитимных администраторов благодаря подмене фильтров pre_user_query и views_users.
Три скрытые настройки WordPress. Злоумышленник добавляет в базу данных три кастомных параметра с отключённой автозагрузкой (autoload = false), чтобы их было сложнее заметить в стандартных выгрузках. Вот эти параметры:
_wpc_ak — секретный ключ аутентификации;
_wpc_uid — ID скрытой учётной записи администратора;
_wpc_uinfo — JSON в кодировке Base64, содержащий логин, пароль и email вредоносной учётной записи в открытом виде.
Три независимых способа закрепиться в системе. Бэкдор прописывается сразу в трёх местах для надёжности:
Устанавливается must-use-плагин с именем object-cache-helper.php — он маскируется под легитимный кэширующий компонент.
Внедряется в файл functions.php активной темы.
В директорию wp-includes помещается файл class-wp-locale-helper.php.
Сбор и отправка данных на управляющий сервер (C2). Бэкдор похищает: URL сайта, секретный ключ бэкдора, имя хоста, версию Smart Slider 3, версию WordPress, версию PHP, email администратора, имя базы данных WordPress, логин и пароль администратора в открытом виде, а также полный список всех методов закрепления. Всё это уходит на домен wpjs1[.]com.
Patchstack подчёркивает, что вредоносная программа работает в несколько этапов, и каждый из них нацелен на глубокое, устойчивое и многократно дублированное присутствие на взломанном сайте. Злоумышленник развернул не просто примитивный веб-шелл, а многослойный инструментарий для долгосрочного контроля. В нём есть независимые точки входа, скрытие пользователя от глаз администратора, надёжное выполнение команд с цепочками запасных вариантов и автоматическая регистрация на C2-сервере с полной выгрузкой всех учётных данных.
Важное уточнение: бесплатная версия WordPress-плагина не пострадала.
Nextend оперативно отключила серверы обновлений, удалила вредоносную версию и начала полное расследование. Пользователям, у которых стоит версия 3.5.1.35, необходимо срочно обновиться до 3.5.1.36.
Patchstack называет этот инцидент классическим примером компрометации цепочки поставок (supply chain attack). Такой тип атаки делает бессмысленными стандартные периметровые защиты. Обычные межсетевые экраны, проверка nonce, управление доступом на основе ролей — всё это бесполезно, когда вредоносный код доставляется через доверенный канал обновлений. В этой ситуации сам плагин и есть вредоносное ПО.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Исследователи в области кибербезопасности зафиксировали очередной виток эволюции кампании GlassWorm. На этот раз злоумышленники используют свежий загрузчик (дроппер), написанный на языке программирования Zig. Его главная цель — незаметно заразить все среды разработки (IDE), установленные на компьютере программиста.
Специалисты в области кибербезопасности обнаружили в официальном реестре npm тридцать шесть подозрительных пакетов. Внешне они выглядят как плагины для системы управления контентом Strapi, но на деле их задача — проникать в базы данных Redis и PostgreSQL, устанавливать невидимые закладки для удалённого управления, воровать учётные данные и разворачивать обратные оболочки (reverse shells). Все эти компоненты работают скрытно и могут долгое время оставаться незамеченными.
Специалисты из команды Microsoft Defender Security Research Team обнаружили тревожную тенденцию: злоумышленники всё чаще используют обычные HTTP-куки (cookie) в качестве канала управления для PHP-веб-шеллов на Linux-серверах. Такой подход позволяет хакерам удалённо выполнять код на взломанных машинах, оставаясь практически незамеченными.