Diversos plugins da ShapedPlugin para WordPress foram comprometidos em um ataque à cadeia de suprimentos após atores de ameaça desconhecidos conseguirem adulterar os canais oficiais de lançamento e inserir código de backdoor (acesso remoto não autorizado).
"Os atacantes comprometeram o pipeline de build (linha de compilação) e distribuição do fornecedor, injetando código de backdoor em versões Pro dos plugins distribuídas por meio de canais oficiais de atualização licenciados", afirmou a Wordfence em uma análise publicada na semana passada.
O incidente afeta os seguintes plugins:
- Product Slider Pro for WooCommerce (versões anteriores à 3.5.4)
- Real Testimonials Pro (versão 3.2.5)
- Smart Post Show Pro (versões anteriores à 4.0.2)
Conforme mencionado acima, vale destacar que o comprometimento afeta apenas as builds (compilações) dos plugins Pro distribuídas por meio da infraestrutura de Easy Digital Downloads (EDD, plataforma de downloads digitais) do fornecedor, via account.shapedplugin[.]com. As versões gratuitas dos plugins disponíveis no WordPress.org não foram afetadas.
O comprometimento da cadeia de suprimentos associado ao Product Slider Pro for WooCommerce recebeu o identificador CVE-2026-49777 (Common Vulnerabilities and Exposures, sistema público de identificação de vulnerabilidades), com pontuação CVSS (Common Vulnerability Scoring System, sistema de pontuação de severidade de vulnerabilidades) de 10,0, indicando severidade máxima. O CVE-2026-10735 (pontuação CVSS: 9,8) é o identificador atribuído ao incidente completo.
A empresa de segurança do WordPress afirmou que as versões comprometidas dos plugins incorporam um loader (carregador) que é acionado em todas as páginas administrativas, fazendo com que busque um payload (código malicioso) em um servidor remoto ("194.76.217[.]28:2871"), o instale e o ative como um plugin falso.
Uma vez ativado, o malware reporta o domínio da vítima de volta ao servidor e se autodestrói para apagar os rastros e dificultar os esforços de resposta a incidentes. O plugin falso, por sua vez, se oculta da lista de plugins do painel administrativo do WordPress e é capaz de capturar credenciais em texto puro e códigos de autenticação de dois fatores (2FA).
Ele também estabelece múltiplos métodos de persistência que possibilitam a escrita arbitrária de arquivos por meio de um endpoint REST (Representational State Transfer, interface de comunicação entre aplicações) personalizado, quando fornecido um token de autenticação específico, além de instalar um web shell (interface web para execução remota de comandos) com recursos de execução de comandos. Por fim, faz uso de um arquivo PHP (linguagem de programação usada no WordPress) chamado "install-persistent.php", que vem empacotado como parte do plugin, para extrair os seguintes dados:
- Conteúdo completo do wp-config.php, incluindo credenciais de banco de dados, chaves de autenticação e configurações de debug (depuração)
- Todas as contas de administrador com datas de registro
- Credenciais de plugins de e-mail do WP Mail SMTP, Post SMTP e Easy WP SMTP
- Dados de pedidos do WooCommerce dos últimos 3 meses, com detalhamento das formas de pagamento
Após a exibição dessas informações, o arquivo é excluído. As evidências indicam que o ataque pode se tratar de um comprometimento do pipeline de build, em vez de um envenenamento direto dos pacotes.
O que torna este ataque particularmente perigoso é que ele expõe proprietários de sites que adquiriram licenças legítimas e instalaram atualizações diretamente do sistema oficial de atualização do fornecedor ao malware.
Após ser notificada do problema, a ShapedPlugin confirmou o incidente, acrescentando que está revisando os processos de distribuição e lançamento para garantir a integridade de seus produtos daqui em diante. Novas versões dos plugins impactados devem ser lançadas após revisões de segurança abrangentes e testes de validação.
Aos proprietários de sites que instalaram as versões maliciosas, recomenda-se redefinir todas as senhas, revogar e regenerar os segredos de 2FA de todos os usuários, revisar as contas de administrador em busca de adições não autorizadas e verificar as configurações dos plugins de e-mail em busca de credenciais SMTP (Simple Mail Transfer Protocol, protocolo simples de transferência de correio) modificadas.
