Fri, 10 Apr 2026
← VoltarOs invasores sequestraram o sistema de atualização do Smart Slider 3 Pro para distribuir uma versão backdoor, impactando mais de 800.000 sites WordPress.
Atores de ameaças desconhecidos sequestraram o sistema de atualização do plug-in Smart Slider 3 Pro para WordPress e Joomla para enviar uma versão envenenada contendo um backdoor. O incidente afeta o Smart Slider 3 Pro versão 3.5.1.35 para WordPress, de acordo com a empresa de segurança WordPress Patchstack. Smart Slider 3 é um popular plugin de controle deslizante para WordPress com mais de 800.000 instalações ativas em suas edições gratuita e Pro. “Uma parte não autorizada obteve acesso à infraestrutura de atualização do Nextend e distribuiu uma compilação totalmente de autoria do invasor por meio do canal de atualização oficial”, disse a empresa.
“Qualquer site atualizado para 3.5.1.35 entre seu lançamento em 7 de abril de 2026 e sua detecção aproximadamente 6 horas depois recebeu um kit de ferramentas de acesso remoto totalmente armado.” Nextend, que mantém o plugin, disse que uma parte não autorizada obteve acesso não autorizado ao seu sistema de atualização e lançou uma versão maliciosa (3.5.1.35 Pro) que permaneceu acessível por aproximadamente seis horas, antes de ser detectada e retirada. A atualização trojanizada inclui a capacidade de criar contas de administrador não autorizadas, bem como derrubar backdoors que executam comandos do sistema remotamente por meio de cabeçalhos HTTP e executam código PHP arbitrário por meio de parâmetros de solicitação ocultos. De acordo com Patchstack, o malware vem com os seguintes recursos – Alcançar execução remota de código pré-autenticado por meio de cabeçalhos HTTP personalizados como X-Cache-Status e X-Cache-Key, o último dos quais contém o código que é passado para “shell_exec ()”. Um backdoor que suporta modos de execução dupla, permitindo ao invasor executar código PHP arbitrário e comandos do sistema operacional no servidor.
Crie uma conta de administrador oculta (por exemplo, "wpsvc_a3f1") para acesso persistente e torne-a invisível para administradores legítimos, alterando os filtros "pre_user_query" e "views_users". Use três opções personalizadas do WordPress definidas com a configuração "autoload" desabilitada para reduzir sua visibilidade em dumps de opções: _wpc_ak (uma chave de autenticação secreta), _wpc_uid (ID de usuário da conta de administrador oculta) e _wpc_uinfo (JSON codificado em Base64 contendo o nome de usuário, senha e e-mail em texto simples da conta não autorizada). Instale a persistência em três locais para redundância: crie um plugin obrigatório com o nome de arquivo "object-cache-helper.php" para fazer com que pareça um componente de cache legítimo, anexe o componente backdoor ao arquivo "functions.php" do tema ativo e solte um arquivo chamado "class-wp-locale-helper.php" no diretório "wp-includes" do WordPress. Exfiltre dados contendo URL do site, chave secreta do backdoor, nome do host, versão do Smart Slider 3, versão do WordPress e versão do PHP, endereço de e-mail do administrador do WordPress, nome do banco de dados WordPress, nome de usuário e senha em texto simples da conta do administrador e uma lista de todos os métodos de persistência instalados no domínio de comando e controle (C2) "wpjs1[.]com".
“O malware opera em vários estágios, cada um projetado para garantir acesso profundo, persistente e redundante ao site comprometido”, disse Patchstack. "A sofisticação da carga útil é notável: em vez de um simples webshell, o invasor implantou um kit de ferramentas de persistência em várias camadas com vários pontos de reentrada independentes e redundantes, ocultação do usuário, execução resiliente de comandos com cadeias de fallback e registro C2 automático com exfiltração completa de credenciais. É importante notar que a versão gratuita do plugin WordPress não é afetada. Para conter o problema, a Nextend desligou seus servidores de atualização, removeu a versão maliciosa e lançou uma investigação completa sobre o incidente.
Os usuários que possuem a versão trojanizada são aconselhados a atualizar para a versão 3.5.1.36. Além disso, os usuários que instalaram a versão não autorizada são recomendados a executar as seguintes etapas de limpeza - Verifique se há contas de administrador suspeitas ou desconhecidas e remova-as. Exclua as opções maliciosas do WordPress de "wp_options". tabela: _wpc_ak, _wpc_uid, _wpc_uinfo, _perf_toolkit_source e wp_page_for_privacy_policy_cache Limpe o arquivo "wp-config.php", incluindo a remoção de "define('WP_CACHE_SALT', '<token>');" se existir.
a pasta raiz do WordPress. Redefina as senhas do administrador e do usuário do banco de dados do WordPress. Altere as credenciais do FTP/SSH e da conta de hospedagem. "Este incidente é um comprometimento da cadeia de suprimentos de livro didático, o tipo que torna as defesas de perímetro tradicionais irrelevantes", disse Patchstack.
é entregue através do canal de atualização confiável. O plugin é o malware."