FR|EN
L'essentiel de la tech, chaque jour
FR|EN
Cybersécurité23 juin 2026· via Security Affairs

Attaque de la chaîne d'approvisionnement touche ShapedPlugin et infecte des plugins WordPr

Attaque de la chaîne d'approvisionnement touche ShapedPlugin et infecte des plugins WordPr

Image : Security Affairs

Une attaque de la chaîne d'approvisionnement a compromis le système de mise à jour de ShapedPlugin, injectant des portes dérobées malveillantes dans des plugins WordPress premium distribués entre avril et juin 2026. Les chercheurs en sécurité de Wordfence ont confirmé la violation après avoir découvert une copie altérée de Real Testimonials Pro 3.2.5 dans le canal de mise à jour officiel de ShapedPlugin.

Déroulement de l'attaque

L'intrusion a ciblé le pipeline de construction et de distribution de ShapedPlugin, intégrant du code malveillant dans les versions des plugins premium. Les produits concernés incluent Product Slider Pro pour WooCommerce, Real Testimonials Pro et Smart Post Show Pro. Les plugins gratuits sur WordPress.org n'ont pas été affectés, suggérant que les attaquants se concentraient spécifiquement sur les offres payantes.

Fonctionnement de la porte dérobée

Le malware agit en deux étapes. D'abord, un fichier chargeur télécharge une charge utile depuis un serveur contrôlé par l'attaquant, s'installe en tant que plugin déguisé, signale le domaine infecté, puis se supprime lui-même. La charge utile se fait passer pour des plugins WooCommerce légitimes avec de légères variations de nom, comme « woocommerce-subscription ». Une fois active, elle se cache de l'interface d'administration de WordPress et enregistre une porte dérobée via l'API REST permettant des écritures arbitraires de fichiers. Elle inclut également des outils comme Tiny File Manager et Adminer pour un accès direct aux fichiers et à la base de données, ainsi qu'une contournement d'authentification intégré utilisant un hachage MD5 unique pour s'authentifier en tant qu'administrateur.

Pourquoi cela compte

Les compromissions de chaîne d'approvisionnement comme celle-ci sont de plus en plus fréquentes, car elles exploitent la confiance accordée aux sources logicielles légitimes. Même les utilisateurs suivant les bonnes pratiques de sécurité — comme installer les mises à jour directement depuis les canaux officiels — peuvent être exposés. Les chercheurs de Wordfence soulignent la sophistication du malware, notamment son vol ciblé de secrets d'authentification à deux facteurs depuis plusieurs plugins 2FA, les identifiants volés étant envoyés vers un domaine conçu pour ressembler à des services légitimes.

Source : Security Affairs. Synthèse éditoriale assistée par IA — TechnoExpress.

Lire la source originale sur Security Affairs →

← Retour à l'accueil