Vários plugins do WordPress da ShapedPlugin foram comprometidos em um ataque à cadeia de suprimentos que distribuiu versões infectadas para clientes pagantes por meio do sistema oficial de atualizações do fornecedor.
O malware entregue dessa forma instalava um plugin falso que se passava por componentes do WooCommerce, roubava credenciais e concedia aos operadores capacidade remota de gravação de arquivos.
A ShapedPlugin é uma fornecedora de plugins para WordPress especializada em componentes de interface e exibição de conteúdo, com uma base total de mais de 400.000 instalações ativas entre os produtos gratuitos.
O incidente de segurança afetou apenas três plugins pagos: Product Slider Pro for WooCommerce, em versões anteriores à 3.5.4, Real Testimonials Pro 3.2.5 e Smart Post Show Pro, em versões anteriores à 4.0.2.
De acordo com dados coletados pela empresa de segurança para WordPress Defiant, por meio de seu firewall Wordfence, o backdoor foi inserido nas versões Pro da ShapedPlugin em 21/05, e os primeiros relatos de clientes sobre atualizações possivelmente maliciosas surgiram em 10/06.
Os pesquisadores confirmaram a invasão após baixarem plugins infectados no site da ShapedPlugin em 12/06, e a empresa reconheceu o incidente em 16/06.
Em nota ao Wordfence, a ShapedPlugin afirmou: “Nossa equipe iniciou imediatamente uma investigação ao identificar a preocupação e já implementamos as medidas necessárias para mitigar o problema”.
A empresa acrescentou que estava preparando novas versões dos plugins e validando-as antes de enviá-las aos canais de atualização.
Segundo a análise do Wordfence, os plugins infectados contêm um arquivo carregador malicioso, o LicenseLoader.php, que é ativado quando um administrador do WordPress acessa o painel do site.
Esse arquivo se conecta ao servidor de command and control (C2), baixa a segunda etapa do backdoor, instala-o como um plugin falso chamado woocommerce-subscription ou woocommerce-notification, envia um relatório ao atacante e depois se autoexclui para apagar vestígios.
O plugin falso, que fica oculto da lista de plugins do WordPress, tenta roubar as seguintes informações dos sites infectados:
Credenciais de acesso ao WordPress, incluindo nomes de usuário, senhas, cookies de sessão, funções de usuário, endereços IP e detalhes do navegador
Segredos de autenticação em dois fatores (2FA) de plugins populares de segurança para WordPress
Credenciais do banco de dados e chaves de autenticação do WordPress presentes no wp-config.php
Detalhes da conta de administrador
Credenciais de serviços de SMTP e e-mail
Dados de pedidos do WooCommerce dos últimos três meses, incluindo informações sobre o método de pagamento
Os pesquisadores acreditam que se trata de um comprometimento da pipeline de compilação, com base nas modificações de arquivos, nos padrões de data e hora que sugerem injeção automatizada e nas referências de compilação em Git contidas nos pacotes.
Além disso, as versões hospedadas no WordPress.org foram confirmadas como limpas, o que sugere que os atacantes obtiveram acesso à infraestrutura de distribuição da ShapedPlugin.
O caso é acompanhado atualmente sob o CVE-2026-10735, enquanto o CVE-2026-49777 também foi submetido como duplicado.
O comprometimento da ShapedPlugin ocorre pouco depois de outro grande produto para WordPress, o OptinMonster, ter sido invadido em um ataque à cadeia de suprimentos via CDN, possibilitado por uma falha em um servidor de marketing que permitiu ao hacker roubar credenciais de uma conta de CDN.
No caso da ShapedPlugin, porém, o ponto de comprometimento parece ter sido a pipeline de compilação.
A fornecedora do plugin indicou o lançamento da versão 3.2.6 do Real Testimonial Pro, que traz uma única correção descrita como “Correção: alguns avisos relacionados ao WPCS”.
A ShapedPlugin também afirmou que um comunicado oficial será publicado após a confirmação do Wordfence de que as correções resolveram o problema.
Segundo o Wordfence, correções ficaram disponíveis no Product Slider Pro na versão 3.5.4 e no Smart Post Show Pro na versão 4.0.2.
Caso sejam encontrados plugins falsos do WooCommerce, os administradores de sites são recomendados a redefinir todas as senhas, regenerar os segredos de autenticação em dois fatores (2FA) e revisar a lista de usuários em busca de contas adicionadas indevidamente.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...