Um grupo de atacantes conseguiu controlar o sistema de atualizações do Smart Slider 3 Pro – o popular plugin para criar sliders responsivos no WordPress e Joomla – e distribuiu uma versão maliciosa que introduziu várias portas traseiras nos sites que a instalaram. O problema afetou especificamente a versão Pro 3.5.1.35, e o desenvolvedor recomenda atualizar imediatamente a versão limpa 3.5.1.36 ou restaurar qualquer versão anterior à 3.5.1.35.
O Smart Slider 3 para o WordPress está presente em centenas de milhares de páginas – a ficha oficial do plugin no repositório do WordPress reflete sua ampla adoção – o que converte este incidente em um exemplo clássico de ataque à cadeia de fornecimento: comprometer um componente muito estendido para alcançar uma grande superfície de objetivos. Quando um plugin com tanta instalação ativa é comprometido, o risco para a web pública é significativo. Você pode ver a informação do plugin no WordPress.org aqui.
A análise forense realizada por PatchStack, uma assinatura especializada em segurança para WordPress e software aberto descreve a ameaça como uma “herramienta de malware completa e por camadas” que foi embebida no arquivo principal do plugin sem quebrar a funcionalidade legítima do slider. Isso significa que, a olho nu, o plugin poderia continuar funcionando e o administrador não notaria anomalias funcionais enquanto o atacante mantinha um acesso persistente.
Entre as capacidades maliciosas detectadas estão a execução remota de comandos sem autenticação através de cabeçalhos HTTP manipuladas, uma porta traseira adicional que permite executar código PHP (eval) e comandos do sistema com autenticação, e procedimentos automatizados para roubar credenciais. Para garantir a persistência, os atacantes não se limitaram a um único vetor: criaram uma conta administrativa escondida (com um padrão de nome que normalmente começa por “wpsvc_”), adicionaram um plugin “must-use” no diretório mu-plugins (que carrega automaticamente e não pode ser desativado do painel), injetaram código malicioso no arquivo functions.php do tema ativo, colocaram arquivos no wp-includes que imitam classes do núcleo do WordPress e gravaram uma chave de autenticação em um arquivo .cache_key. Uma consequência importante é que alguns destes backdoors funcionam mesmo se as credenciais da base de dados forem alteradas, porque leem a sua chave de autenticação do ficheiro em disco, como explica o relatório do PatchStack.
A equipe de Smart Slider confirmou que a atualização maliciosa distribuiu-se em 7 de abril, e aconselha que, em caso de restauração por cópia de segurança, o mais seguro é voltar a um estado anterior a 5 de abril para cobrir qualquer desfase horário. O fornecedor publicou seus avisos e guias de recuperação para o WordPress e Joomla; você pode encontrá-los na documentação oficial do Smart Slider: Aviso para WordPress e Aviso para Joomla.
Se você tem sites que usam Smart Slider 3 Pro, assume o pior se você encontrou a versão comprometida: Há que dar por fato uma possível tomada completa do site. O fabricante e os investigadores recomendam medidas abrangentes: remover usuários administrativos suspeitos, remover arquivos e entradas de base de dados maliciosas, reinstalar o núcleo do WordPress/joomla, plugins e temas de fontes limpas, e rotar todas as credenciais (administrativas, base de dados, FTP/SSH, painel de hospedagem e e-mails). Também sugerem regenerar as chaves de segurança do WordPress e revisar logs e digitalização para detectar restos de malware.
Além da limpeza imediata, é fundamental endurecer a plataforma para reduzir a probabilidade de reinfeções: ativar a autenticação de dois fatores para contas administrativas, limitar o acesso ao painel (por exemplo, por IP ou por papéis mais restritivos), impor senhas únicas e robustas, manter todos os componentes sempre atualizados e usar ferramentas de detecção e resposta para ambientes web. Se você não tiver cópias de segurança anteriores à data marcada, a recomendação é remover o plugin afetado e reinstalar a versão segura 3.5.1.36 a partir da fonte oficial.
Detectar a intrusão pode necessitar de uma pesquisa específica: verifique se existem utilizadores com prefixos invulgares (como o wpsvc_), pastas mu- plugins novos ou ficheiros estranhos em /wp- includes, ficheiros .cache_key e entradas invulgares em tabelas da base de dados. Scans com ferramentas especializadas e revisão manual de arquivos e registros entregam melhor garantia que confiar apenas em uma digitalização automática. Se você for complexo, contratar um serviço de resposta a incidentes ou um consultor em segurança WordPress é um investimento prudente.
Este incidente é um lembrete de que a segurança da web depende tanto da integridade dos componentes de terceiros como das boas práticas do administrador. Os ataques à cadeia de abastecimento são especialmente perigosos porque exploram a confiança e o alcance de componentes muito populares, por isso é fundamental combinar cópias de segurança regulares, controles de integridade de arquivos, e políticas de atualização e acesso rigorosos.
Se você quiser, posso preparar uma lista detalhada de verificações concretas para o seu site (comandos para procurar arquivos e entradas suspeitas, padrões de nomes de usuários para revisar, ou passos para regenerar as chaves do WordPress), ou aconselhar sobre serviços e ferramentas de limpeza e monitoramento recomendadas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...