Eine Gruppe von Angreifern schaffte es, die Kontrolle über das Smart Slider 3 Pro Update System - das beliebte Plugin, um ansprechende WordPress und Joomla Führer zu erstellen - und verteilt eine bösartige Version, die mehrere Back-Türen auf die Websites, die es installiert. Das Problem hat speziell die Pro Version 3.5.1.35 betroffen, und der Entwickler empfiehlt, sofort auf die saubere Version 3.5.1.36 zu aktualisieren oder auf jede Version vor dem 3.5.1.35 wiederherzustellen.
Smart Slider 3 für WordPress ist in Hunderttausenden von Seiten vorhanden - die offizielle Plugin-Tab im WordPress-Repository spiegelt seine breite Annahme - so dass dieser Vorfall ein klassisches Beispiel der Supply Chain Attack: Kompromiss eine sehr weit verbreitete Komponente, um eine große Oberfläche von Zielen zu erreichen. Wenn ein Plugin mit so viel aktiver Installation beeinträchtigt wird, ist das Risiko für die öffentliche Website signifikant. Sie können die Plugin-Informationen auf WordPress.org sehen Hier..
Forensische Analyse von Auf den Wunschzettel, ein sicherheitsspezialisiertes Unternehmen für WordPress und offene Software, beschreibt die Bedrohung als "vollständiges und Layer Malware-Tool", die in die Haupt-Plugin-Datei eingebettet wurde, ohne die legitime Slider-Funktionalität zu brechen. Das bedeutet, dass das Plugin auf einfache Sicht weiter funktioniert und der Administrator würde keine funktionellen Anomalien bemerken, während der Angreifer dauerhaften Zugriff aufrecht erhalten.
Unter den erkannten schädlichen Fähigkeiten sind Remote-Ausführung von nicht authentifizierten Befehlen durch manipulierte HTTP-Header, eine zusätzliche Hintertür, die Ihnen erlaubt, PHP (eval) und Systembefehle mit Authentifizierung, und automatisierte Prozeduren zu stehlen Anmeldeinformationen. Um die Beharrlichkeit zu gewährleisten, waren die Angreifer nicht auf einen einzigen Vektor beschränkt: Sie erstellten ein verstecktes Verwaltungskonto (mit einem Namensmuster, das in der Regel mit "wpsvc _") beginnt, fügte ein "must-use" Plugin im Mu-plugins-Verzeichnis hinzu (das automatisch geladen und nicht aus dem Panel deaktiviert werden kann), injiziert bösartigen Code in die aktive Theme-Funktionsdatei, platzierte Dateien in wp-einschließlich dieser mimic Klassen der WordPress-Datei. Eine wichtige Folge ist, dass einige dieser Backdoors funktionieren, auch wenn die Datenbank-Anmeldeinformationen geändert werden., weil sie Ihren Authentifizierungsschlüssel aus dieser Datei lesen, wie in PatchStack's Bericht erklärt.
Das Team von Smart Slider bestätigte, dass das schädliche Update am 7. April verteilt wurde und berät, dass es im Falle der Backup-Restaurierung sicher ist, in einen Zustand vor dem 5. April zurückzukehren, um eine Verzögerung zu decken. Der Lieferant veröffentlichte ihre Anzeigen und Recovery Guides für WordPress und Joomla; Sie können sie in der offiziellen Smart Slider Dokumentation konsultieren: WordPress Benachrichtigung und Hinweis für Joomla.
Wenn Sie Websites haben, die Smart Slider 3 Pro verwenden, nehmen Sie das Schlimmste, wenn Sie die kompromittierte Version gefunden haben: muss selbstverständlich eine mögliche vollständige Nutzung der Website erfolgen. Der Hersteller und die Forscher empfehlen umfassende Maßnahmen: Entfernen Sie verdächtige administrative Benutzer, löschen Sie schädliche Datenbank-Dateien und Einträge, installieren Sie WordPress / Joomla-Kern, Plugins und Themen aus sauberen Quellen, und drehen Sie alle Anmeldeinformationen (administrative, Datenbank, FTP / SSH, Hosting und Post Panel). Sie schlagen auch vor, WordPress Sicherheitsschlüssel zu regenerieren und Protokolle und Scans zu überprüfen, um Malware bleibt zu erkennen.
Neben der sofortigen Reinigung ist es entscheidend, die Plattform zu verschärfen, um die Wahrscheinlichkeit von Wiederinfektionen zu reduzieren: die Authentifizierung von zwei Faktoren für Verwaltungskonten zu aktivieren, den Zugang zum Panel (z.B. durch IP oder durch restriktivere Rollen) zu begrenzen, einzigartige und robuste Passwörter aufzuerlegen, alle Komponenten immer auf dem neuesten Stand zu halten und Erkennungs- und Antworttools für Web-Umgebungen zu verwenden. Wenn Sie kein Pre-date-Backup haben, ist die Empfehlung, das betroffene Plugin zu entfernen und die sichere Version 3.5.1.36 aus der offiziellen Quelle neu zu installieren.
Die Erkennung der Störung kann eine bestimmte Suche erfordern: Überprüfen Sie, ob es Benutzer mit ungewöhnlichen Präfixen (wie wpsvc _), neue mu-plugins Verzeichnisse oder ausländische Dateien in / wp-include, .cache _ Schlüsseldateien und ungewöhnliche Einträge in Datenbanktabellen gibt. Scans mit spezialisierten Tools und manuelle Überprüfung von Dateien und Aufzeichnungen bieten eine bessere Garantie als nur auf ein automatisches Scannen. Wenn Sie es komplex finden, ist die Einstellung eines Vorfalls-Response-Service oder ein WordPress-Sicherheitsberater eine umsichtige Investition.
Dieser Vorfall ist eine Erinnerung daran, dass die Websicherheit sowohl von der Integrität der Komponenten von Drittanbietern als auch von den guten Praktiken des Administrators abhängt. Die Angriffe auf die Lieferkette sind besonders gefährlich, weil sie das Vertrauen ausnutzen und sehr beliebte Komponenten erreichen, daher ist es wichtig, regelmäßige Backup-, Dateiintegritätskontrollen und strenge Update- und Zugriffsrichtlinien zu kombinieren.
Wenn Sie wollen, kann ich eine detaillierte Liste von spezifischen Kontrollen für Ihre Website (Befehle, um nach verdächtigen Dateien und Einträgen zu suchen, Benutzernamen Muster zu überprüfen, oder Schritte, um WordPress-Schlüssel zu regenerieren), oder beraten Sie bei empfohlenen Reinigungs- und Monitoring-Dienste und Tools.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...