Un groupe d'attaquants a réussi à prendre le contrôle du système de mise à jour Smart Slider 3 Pro - le plugin populaire pour créer WordPress responsive et Joomla leaders - et distribué une version malveillante qui a introduit plusieurs portes arrière aux sites qui l'ont installé. Le problème a spécifiquement affecté la version Pro 3.5.1.35, et le développeur recommande de mettre à jour immédiatement la version propre 3.5.1.36 ou de restaurer toute version avant le 3.5.1.35.
Smart Slider 3 pour WordPress est présent dans des centaines de milliers de pages - l'onglet plugin officiel dans le dépôt WordPress reflète sa large adoption - faisant de cet incident un exemple classique d'attaque de chaîne d'approvisionnement: compromis un composant très répandu pour atteindre une grande surface de cibles. Quand un plugin avec tellement d'installation active est compromis, le risque pour le site public est important. Vous pouvez voir les informations du plugin sur WordPress.org Voilà..
Analyse médico-légale par Pioche, une entreprise spécialisée dans la sécurité pour WordPress et les logiciels ouverts, décrit la menace comme un « outil de malware complet et de couche » qui a été intégré dans le fichier plugin principal sans briser la fonctionnalité de curseur légitime. Cela signifie que, en clair, le plugin pourrait continuer à fonctionner et que l'administrateur ne remarquerait pas les anomalies fonctionnelles pendant que l'attaquant maintenait un accès persistant.
Parmi les capacités malveillantes détectées figurent l'exécution à distance de commandes non authentifiées par des en-têtes HTTP manipulés, une porte arrière supplémentaire qui vous permet d'exécuter PHP (eval) et des commandes système avec authentification, et des procédures automatisées pour voler des identifiants. Pour assurer la persistance, les attaquants n'étaient pas limités à un seul vecteur : ils ont créé un compte administratif caché (avec un motif de nom qui commence généralement par "wpsvc _"), ont ajouté un plugin "must-use" dans le répertoire mu-plugins (qui charge automatiquement et ne peut pas être désactivé du panneau), injecté du code malveillant dans le fichier de fonction thème actif, placé des fichiers dans wp-y compris que les classes mimiques du noyau WordPress et enregistré une clé d'authentification dans un fichier .cache _ clé. Une conséquence importante est que certaines de ces portes arrière fonctionnent même si les identifiants de base de données sont modifiés., parce qu'ils ont lu votre clé d'authentification à partir de ce fichier disque, comme expliqué dans le rapport de PatchStack.
L'équipe de Smart Slider a confirmé que la mise à jour malveillante a été distribuée le 7 avril et a indiqué que, en cas de restauration de sauvegarde, il est sûr de revenir à un état avant le 5 avril pour couvrir tout décalage temporel. Le fournisseur a publié leurs annonces et guides de récupération pour WordPress et Joomla; vous pouvez les consulter dans la documentation officielle Smart Slider: Avis WordPress et avis pour Joomla.
Si vous avez des sites qui utilisent Smart Slider 3 Pro, prenez le pire si vous avez trouvé la version compromise: doit être considéré pour acquis une prise complète possible du site. Le fabricant et les chercheurs recommandent des mesures complètes: supprimer les utilisateurs administratifs suspects, supprimer les fichiers de base de données malveillants et les entrées, réinstaller WordPress / joomla coeur, plugins et sujets de sources propres, et faire pivoter toutes les références (administratif, base de données, FTP / SSH, hébergement et panneau de poste). Ils suggèrent également de régénérer les clés de sécurité WordPress et d'examiner les journaux et les scans pour détecter les restes de malware.
En plus du nettoyage immédiat, il est essentiel de resserrer la plate-forme pour réduire la probabilité de réinfections : activer l'authentification de deux facteurs pour les comptes administratifs, limiter l'accès au panneau (par exemple par IP ou par des rôles plus restrictifs), imposer des mots de passe uniques et robustes, maintenir tous les composants toujours à jour et utiliser des outils de détection et de réponse pour les environnements web. Si vous n'avez pas de sauvegarde antérieure, la recommandation est de supprimer le plugin affecté et de réinstaller la version sécurisée 3.5.1.36 de la source officielle.
Détecter l'intrusion peut nécessiter une recherche spécifique : vérifier s'il y a des utilisateurs avec des préfixes inhabituels (comme wpsvc _), de nouveaux répertoires mu-plugins ou des fichiers étrangers dans / wp-include, des fichiers clés .cache _ et des entrées inhabituelles dans les tables de base de données. Les numérisations avec des outils spécialisés et l'examen manuel des fichiers et des dossiers offrent une meilleure garantie que de s'appuyer uniquement sur une numérisation automatique. Si vous le trouvez complexe, embaucher un service de réponse incidente ou un consultant en sécurité WordPress est un investissement prudent.
Cet incident rappelle que la sécurité Web dépend à la fois de l'intégrité des composants tiers et des bonnes pratiques de l'administrateur. Les attaques contre la chaîne d'approvisionnement sont particulièrement dangereuses parce qu'elles exploitent la confiance et la portée de composants très populaires, il est donc essentiel de combiner des sauvegardes régulières, des contrôles d'intégrité des fichiers, et des politiques strictes de mise à jour et d'accès.
Si vous voulez, je peux préparer une liste détaillée des vérifications spécifiques pour votre site (commandes de rechercher des fichiers et des entrées suspectes, modèles de nom d'utilisateur à revoir, ou étapes pour régénérer les clés WordPress), ou vous conseiller sur les services et outils de nettoyage et de surveillance recommandés.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...