Компрометация ShapedPlugin превратила обновления WordPress-плагинов в канал доставки бэкдора

Поставщик WordPress-плагинов ShapedPlugin столкнулся с supply chain-инцидентом: несколько платных продуктов распространяли заражённые сборки через официальный канал обновлений. По данным BleepingComputer, вредоносные версии устанавливали скрытый фальшивый плагин, имитирующий компоненты WooCommerce, крали данные и давали операторам возможность удалённо записывать файлы на сайт.

ShapedPlugin выпускает плагины для интерфейсных компонентов и отображения контента; бесплатные продукты компании в сумме имеют более 400 тысяч активных установок. Инцидент, однако, затронул не всю линейку, а три платных продукта: Product Slider Pro for WooCommerce до версии 3.5.4, Real Testimonials Pro 3.2.5 и Smart Post Show Pro до версии 4.0.2.

Wordfence/Defiant зафиксировали, что бэкдор был внедрён в Pro-сборки 21 мая, первые сообщения клиентов о подозрительных обновлениях появились 10 июня, а 12 июня исследователи подтвердили компрометацию, скачав заражённые пакеты с сайта ShapedPlugin. Сам поставщик признал проблему 16 июня и сообщил, что начал расследование, принял меры по смягчению последствий и готовит проверенные обновления.

Технически заражённые плагины содержали loader-файл LicenseLoader.php, который активировался, когда администратор заходил в панель управления WordPress. Затем код связывался с C2-сервером, скачивал второй этап, устанавливал его как фальшивый плагин woocommerce-subscription или woocommerce-notification, отчитывался атакующим и удалял себя, чтобы скрыть следы. Такой сценарий опасен именно тем, что использует доверенный процесс обновления: администратор может установить вредоносный код, считая его легитимной версией от разработчика.

Исследователи предполагают компрометацию build pipeline, поскольку модификации файлов и временные метки похожи на автоматизированное внедрение, а в пакетах обнаружены ссылки на Git-сборку. Владельцам затронутых плагинов стоит немедленно обновиться до чистых версий, проверить наличие скрытых плагинов, просмотреть файловые изменения, логи административных входов и сбросить учётные данные. Для организаций это ещё один аргумент в пользу контроля целостности WordPress-поставок и минимизации плагинов с широкими правами.

Источник: BleepingComputer, 18 июня 2026