Supply-Chain-Angriff schleust Backdoor in WordPress-Pro-Plugins von ShapedPlugin ein

Zusammenfassung

Mehrere WordPress-Plugins von ShapedPlugin sind nach Angaben von Wordfence Opfer eines Supply-Chain-Angriffs geworden. Unbekannte Angreifer manipulierten demnach die Build- und Distributionspipeline des Anbieters und schleusten Backdoor-Code in Pro-Versionen ein, die über den offiziellen, lizenzgebundenen Update-Kanal ausgeliefert wurden. Betroffen sind laut Analyse ausschließlich Pro-Builds, die über die Easy-Digital-Downloads-Infrastruktur des Herstellers unter account.shapedplugin[.]com verteilt wurden. Die kostenlosen Versionen auf WordPress.org sind nicht betroffen. Besonders brisant ist der Vorfall, weil er gerade Kunden traf, die reguläre Lizenzen erworben und Updates direkt aus dem offiziellen System des Herstellers installiert hatten. ShapedPlugin hat den Vorfall nach der Meldung bestätigt und erklärt, die eigenen Veröffentlichungs- und Verteilprozesse zu überprüfen, um die Integrität der Produkte künftig sicherzustellen. Neue Versionen der betroffenen Plugins sollen nach umfassenden Sicherheitsprüfungen und Validierungstests veröffentlicht werden.

Wordfence beschreibt den Vorfall als Kompromittierung der Build- und Distributionspipeline des Herstellers. Die Angreifer hätten Backdoor-Code in Pro-Plugin-Releases eingebettet, die anschließend über die offiziellen Update-Kanäle an Kunden ausgeliefert wurden. Hinweise deuten laut der Sicherheitsfirma darauf hin, dass eher die Build-Pipeline selbst kompromittiert wurde als einzelne Pakete nachträglich vergiftet wurden.

Der Supply-Chain-Kompromiss im Zusammenhang mit Product Slider Pro for WooCommerce erhielt die Kennung CVE-2026-49777 und einen CVSS-Wert von 10,0. Für den gesamten Vorfall wird laut Bericht außerdem CVE-2026-10735 mit einem CVSS-Wert von 9,8 geführt.

Nach der Analyse enthalten die kompromittierten Plugin-Versionen einen Loader, der auf jeder Administrationsseite ausgeführt wird. Dieser lädt von einem entfernten Server unter 194.76.217[.]28:2871 eine weitere Nutzlast nach, installiert sie und aktiviert sie als gefälschtes Plugin.

Sobald dieses aktiviert ist, meldet die Schadsoftware die Domain des Opfers an den Server zurück und löscht sich anschließend selbst, um Spuren zu verwischen und die Reaktion auf den Vorfall zu erschweren. Das gefälschte Plugin verbirgt sich zudem vor der Plugin-Liste in der WordPress-Administration und kann Zugangsdaten im Klartext sowie Codes für die Zwei-Faktor-Authentifizierung abgreifen.

Darüber hinaus richtet die Schadsoftware laut Wordfence mehrere Persistenzmechanismen ein. Dazu gehört die Möglichkeit, über einen angepassten REST-Endpunkt beliebige Dateien zu schreiben, sofern ein bestimmtes Authentifizierungstoken übergeben wird. Außerdem kann sie eine Web-Shell mit Funktionen zur Befehlsausführung ablegen.

Zusätzlich nutzt der Schadcode eine PHP-Datei mit dem Namen „install-persistent.php“, die bereits im Plugin-Paket enthalten ist, um Daten zu extrahieren. Nachdem diese Informationen angezeigt wurden, wird die Datei gelöscht.

ShapedPlugin hat den Vorfall nach der Meldung bestätigt. Das Unternehmen erklärte, die Verteilungs- und Veröffentlichungsprozesse zu überprüfen, um die Integrität seiner Produkte künftig sicherzustellen. Neue Versionen der betroffenen Plugins sollen erst nach umfassenden Sicherheitsprüfungen und Validierungstests erscheinen.

Für Betreiber von Websites, die die bösartigen Versionen installiert haben, wird empfohlen, sämtliche Passwörter zurückzusetzen, die Geheimnisse für die Zwei-Faktor-Authentifizierung aller Nutzer zu widerrufen und neu zu erzeugen, Administratorenkonten auf unautorisierte Ergänzungen zu prüfen und die Konfiguration von Mail-Plugins auf geänderte SMTP-Zugangsdaten zu kontrollieren.

Supply-Chain-Angriff schleust Backdoor in WordPress-Pro-Plugins von ShapedPlugin ein

Ähnliche Artikel

Neueste Artikel