ShapedPlugin entwickelt WordPress-Erweiterungen für Frontend-, Oberflächen- und Inhaltsdarstellung. Die frei verfügbaren Produkte kommen zusammen auf mehr als 400.000 aktive Installationen. Der aktuelle Vorfall betraf laut Bericht jedoch ausschließlich drei kostenpflichtige Plugins.

Wordfence beschreibt die Infektionskette so: In den manipulierten Paketen steckt die bösartige Loader-Datei LicenseLoader.php. Sie wird aktiv, sobald ein WordPress-Administrator das Administrationsbereich der Website aufruft. Danach nimmt sie Kontakt zu einem Command-and-Control-Server auf, lädt eine zweite Stufe nach, installiert diese als gefälschtes Plugin mit den Namen woocommerce-subscription oder woocommerce-notification, meldet die erfolgreiche Ausführung an die Angreifer und löscht sich anschließend selbst, um Spuren zu verwischen.

Das nachgeladene gefälschte Plugin wird in der WordPress-Pluginliste verborgen. Laut Quelle gibt es sich als WooCommerce-Komponente aus, stiehlt Zugangsdaten und verschafft den Betreibern die Möglichkeit, aus der Ferne Dateien zu schreiben. Welche Informationen auf infizierten Websites abgegriffen werden sollten, führt der Quelltext zwar an, die konkreten Punkte werden dort jedoch nicht weiter ausgeführt.

Nach Einschätzung der Forscher deutet vieles auf eine Kompromittierung der Build-Pipeline hin. Als Hinweise nennt Wordfence die Änderungen an Dateien, Zeitstempelmuster, die auf eine automatisierte Einschleusung hindeuten, sowie Git-Build-Referenzen in den Paketen. Zugleich wurden die über WordPress.org bereitgestellten Versionen als sauber bestätigt. Das spricht laut Analyse dafür, dass sich die Angreifer Zugriff auf die Release-Infrastruktur von ShapedPlugin verschafft haben.

ShapedPlugin teilte Wordfence mit, das Team habe sofort nach Bekanntwerden des Problems mit der Untersuchung begonnen und Maßnahmen zur Abwehr eingeleitet. Außerdem habe der Anbieter aktualisierte Plugin-Versionen vorbereitet und vor der Verteilung über die Update-Kanäle geprüft. Nach Angaben von Wordfence stehen Korrekturen für Product Slider Pro in Version 3.5.4 und für Smart Post Show Pro in Version 4.0.2 bereit. BleepingComputer wandte sich ebenfalls an den Hersteller; das Unternehmen verwies dabei auf die Veröffentlichung von Real Testimonial Pro 3.2.6, deren Änderungsprotokoll lediglich einen Punkt mit der Beschreibung enthält: „Behebung einiger WPCS-bezogener Warnungen.“ ShapedPlugin erklärte zudem, eine offizielle Stellungnahme solle nach der Bestätigung durch Wordfence veröffentlicht werden, dass die Patches das Problem behoben haben.

Der Vorfall folgt kurz auf einen anderen bekannten Angriff im WordPress-Umfeld: Bei OptinMonster war es zu einem CDN-Lieferkettenangriff gekommen, der laut Bericht durch eine Schwachstelle in einem Marketing-Server ermöglicht wurde, über die ein Angreifer Zugangsdaten für ein CDN-Konto stehlen konnte. Im Fall von ShapedPlugin liegt der mutmaßliche Angriffspunkt nach derzeitigem Stand jedoch in der Build-Pipeline.

Für den aktuellen Fall führt WordPress die Kennung CVE-2026-10735; CVE-2026-49777 wurde ebenfalls eingereicht, laut Bericht jedoch als Duplikat.