Ataque à cadeia de suprimentos compromete plugins da ShapedPlugin

· Fonte: Sempre Update
Ataque à cadeia de suprimentos compromete plugins da ShapedPlugin

Um novo incidente de segurança está colocando milhares de sites em alerta. Um ataque à cadeia de suprimentos atingiu a infraestrutura da ShapedPlugin, permitindo que código malicioso fosse distribuído por meio de atualizações aparentemente legítimas de alguns de seus plugins premium para WordPress.

O caso chama atenção porque não se trata de uma vulnerabilidade comum explorada diretamente em um site. Os invasores conseguiram comprometer a própria cadeia de distribuição dos plugins, transformando atualizações confiáveis em um vetor para infecção de ambientes WordPress. Esse tipo de ataque é considerado um dos mais perigosos da atualidade, pois explora a confiança dos usuários no fornecedor do software.

Para administradores, desenvolvedores e profissionais de segurança, o incidente serve como mais um lembrete de que a proteção de um ambiente WordPress vai além da simples aplicação de atualizações. Quando a origem do software é comprometida, os impactos podem ser significativos, incluindo roubo de credenciais, acesso não autorizado e comprometimento de dados corporativos e de clientes.

Como ocorreu o ataque à cadeia de suprimentos na ShapedPlugin

A campanha maliciosa envolveu a inserção de código malicioso em versões específicas de plugins premium distribuídos pela ShapedPlugin. Durante o processo de instalação ou atualização, os componentes comprometidos executavam um arquivo chamado LicenseLoader.php, responsável por iniciar a comunicação com servidores controlados pelos invasores.

Após ser acionado, o arquivo estabelecia conexão com uma infraestrutura de comando e controle (C2). A partir dessa comunicação, novos componentes podiam ser baixados e executados no servidor afetado, ampliando o alcance da invasão e permitindo a coleta de informações sensíveis.

Outro detalhe que chamou a atenção dos pesquisadores foi a capacidade de ocultação do malware. Depois de concluir determinadas etapas da infecção, o arquivo LicenseLoader.php podia ser removido automaticamente, dificultando investigações e reduzindo os rastros deixados pelos criminosos.

Essa estratégia permitia que a ameaça permanecesse ativa no ambiente comprometido sem chamar atenção imediata dos administradores.

Imagem com a logomarca do WordPress

O perigo do plugin falso do WooCommerce

Como forma de garantir persistência no ambiente, o malware instalava extensões maliciosas que simulavam componentes legítimos do WooCommerce.

Entre os nomes observados estão woocommerce-subscription e woocommerce-notification. À primeira vista, esses itens podem parecer plugins normais utilizados em lojas virtuais, mas seu verdadeiro objetivo era manter o acesso dos invasores ao sistema.

Além disso, os componentes fraudulentos foram projetados para evitar detecção, permanecendo ocultos ou pouco visíveis dentro do painel administrativo do WordPress. Isso aumenta significativamente o tempo de permanência dos atacantes no ambiente e dificulta a identificação do comprometimento.

A presença desses plugins falsos também possibilita a execução de comandos remotos e a continuidade da coleta de dados mesmo após a remoção do componente inicial da infecção.

Quais dados foram roubados?

Os criminosos buscavam informações de alto valor para ampliar o acesso aos ambientes comprometidos e potencializar futuras invasões.

Entre os principais alvos identificados estão:

  • Credenciais de administradores do WordPress;
  • Chaves e segredos utilizados na autenticação de dois fatores (2FA);
  • Arquivos de configuração como o wp-config.php;
  • Configurações e credenciais de serviços SMTP;
  • Dados relacionados ao ambiente WordPress;
  • Informações de pedidos realizados no WooCommerce durante os últimos três meses.

O acesso a essas informações pode permitir desde o controle total do site até ataques direcionados contra clientes, funcionários e outros sistemas conectados à mesma infraestrutura.

Em ambientes corporativos, o impacto pode ser ainda maior, especialmente quando as credenciais comprometidas são reutilizadas em outros serviços internos.

Plugins e versões afetados pelo incidente

O caso está sendo acompanhado sob o identificador CVE-2026-10735, relacionado ao comprometimento da cadeia de distribuição dos plugins afetados.

Os produtos identificados como impactados são:

  • Product Slider Pro em versões anteriores à 3.5.4;
  • Real Testimonials Pro na versão 3.2.5;
  • Smart Post Show Pro em versões anteriores à 4.0.2.

É importante destacar que o incidente afeta versões premium específicas distribuídas durante o período de comprometimento.

As versões gratuitas disponibilizadas no diretório oficial do WordPress.org não foram apontadas como afetadas por essa campanha, reduzindo o alcance do problema para usuários que utilizam exclusivamente as edições gratuitas.

Mesmo assim, especialistas recomendam uma revisão completa dos ambientes para garantir que nenhum componente malicioso tenha sido instalado durante o período em que a infraestrutura comprometida esteve distribuindo atualizações infectadas.

Como proteger e limpar o seu site WordPress

Administradores que utilizam qualquer um dos plugins afetados devem agir imediatamente para reduzir riscos e impedir que invasores mantenham acesso aos seus ambientes.

O primeiro passo é verificar quais versões estão instaladas e confirmar se houve atualização durante o período do incidente. Caso haja suspeita de comprometimento, o ambiente deve ser tratado como potencialmente invadido.

Medidas imediatas para reduzir os riscos

As versões corrigidas disponibilizadas pelos desenvolvedores são:

  • Product Slider Pro 3.5.4;
  • Real Testimonials Pro 3.2.6;
  • Smart Post Show Pro 4.0.2.

Após a atualização, recomenda-se realizar uma auditoria completa no servidor.

Entre as ações prioritárias estão:

  • Procurar e remover plugins suspeitos relacionados ao WooCommerce;
  • Excluir qualquer instância não autorizada de woocommerce-subscription ou woocommerce-notification;
  • Alterar todas as senhas administrativas;
  • Redefinir credenciais de banco de dados e serviços de e-mail quando possível;
  • Regenerar as chaves de autenticação de dois fatores (2FA);
  • Revisar a lista de administradores do WordPress;
  • Verificar logs de acesso e atividades incomuns;
  • Executar uma análise completa com ferramentas de segurança especializadas.

Lojas virtuais que utilizam WooCommerce devem dedicar atenção especial à proteção de informações de clientes e ao monitoramento de atividades suspeitas relacionadas a pedidos, contas administrativas e integrações externas.

Conclusão

O comprometimento da cadeia de distribuição da ShapedPlugin demonstra como os ataques à cadeia de suprimentos continuam evoluindo e representando uma ameaça significativa para o ecossistema WordPress. Quando uma atualização legítima passa a distribuir código malicioso, até mesmo organizações que seguem boas práticas de manutenção podem ser afetadas.

Diante desse cenário, administradores e equipes de segurança devem atualizar imediatamente os plugins afetados, revisar seus ambientes e considerar a possibilidade de comprometimento caso tenham utilizado versões vulneráveis. A resposta rápida pode ser decisiva para impedir roubo de dados, acesso não autorizado e danos mais amplos à operação do site.