**Supply-Chain-Kompromittierung zielt auf WordPress-Plugin ab** Bedrohungsakteure haben erfolgreich den Update-Mechanismus für **Smart Slider 3 Pro** gekapert, ein beliebtes **WordPress**- und **Joomla**-Plugin mit über 800.000 aktiven Installationen. Laut **Patchstack**, einem Sicherheitsunternehmen für WordPress, enthielt die kompromittierte Version 3.5.1.35 eine Backdoor, die das Plugin effektiv in ein Fernzugriffs-Toolkit verwandelte. "Eine unbefugte Partei hat sich Zugang zur Update-Infrastruktur von **Nextend** verschafft und eine vollständig vom Angreifer erstellte Version über den offiziellen Update-Kanal verteilt", berichtete **Patchstack**. Das bösartige Update war etwa sechs Stunden verfügbar, bevor es entdeckt und entfernt wurde. **Technische Details der Backdoor** Das trojanisierte Update bot Angreifern umfangreiche Möglichkeiten, darunter: * Erstellung von bösartigen Administrator-Konten. * Fernausführung von Systembefehlen über HTTP-Header. * Ausführung von beliebigem PHP-Code über versteckte Request-Parameter. **Patchstack** detaillierte die Funktionalitäten der Malware: * Vorausgehende Remote Code Execution über benutzerdefinierte HTTP-Header (z.B. `X-Cache-Status` und `X-Cache-Key`). * Eine Backdoor im Dual-Execution-Modus, die die Ausführung von beliebigem PHP-Code und OS-Befehlen ermöglicht. * Erstellung eines versteckten Administrator-Kontos (z.B. `wpsvc_a3f1`), das vor legitimen Administratoren verborgen ist. * Verschleierung sensibler Daten durch benutzerdefinierte WordPress-Optionen mit deaktiviertem Autoload. * Redundante Persistenzmechanismen, einschließlich eines Must-Use-Plugins (`object-cache-helper.php`), Anhängen von Code an die `functions.php`-Datei des aktiven Themes und Ablegen einer Datei namens `class-wp-locale-helper.php` im `wp-includes`-Verzeichnis von WordPress. * Exfiltration von sensiblen Daten an die Command-and-Control (C2)-Domain `wpjs1[.]com`. **Auswirkungen und Abhilfemaßnahmen** **Patchstack** betonte die Raffinesse des Angriffs: "Die Malware operiert in mehreren Phasen, die jeweils darauf ausgelegt sind, einen tiefen, persistenten und redundanten Zugriff auf die kompromittierte Website zu gewährleisten." Die kostenlose Version von **Smart Slider 3** war nicht betroffen. **Nextend** hat seine Update-Server abgeschaltet, die bösartige Version entfernt und eine vollständige Untersuchung eingeleitet. Benutzer, die Version 3.5.1.35 installiert haben, werden dringend aufgefordert, sofort auf Version 3.5.1.36 zu aktualisieren und die folgenden Bereinigungsschritte durchzuführen: * Überprüfen und Entfernen verdächtiger Administrator-Konten. * Entfernen von **Smart Slider 3 Pro** Version 3.5.1.35, falls installiert. * Neuinstallation einer sauberen Version des Plugins. * Entfernen aller Persistenzdateien, die mit der Backdoor verbunden sind. * Löschen bösartiger WordPress-Optionen aus der `wp_options`-Tabelle: `_wpc_ak`, `_wpc_uid`, `_wpc_uinfo`, `_perf_toolkit_source` und `wp_page_for_privacy_policy_cache`. * Bereinigen der `wp-config.php`-Datei, Entfernen von `define('WP_CACHE_SALT', '<token>');`, falls vorhanden. * Entfernen der Zeile `# WPCacheSalt <token>` aus der `.htaccess`-Datei. * Zurücksetzen von Administrator- und WordPress-Datenbankbenutzer-Passwörtern. * Ändern von FTP/SSH- und Hosting-Konto-Anmeldeinformationen. * Überprüfung der Website-Logs auf unbefugte Änderungen und ungewöhnliche POST-Anfragen. * Aktivieren der Zwei-Faktor-Authentifizierung (2FA) für Administratoren und Deaktivieren der PHP-Ausführung im Uploads-Ordner. **Implikationen von Supply-Chain-Angriffen** **Patchstack** schloss mit den Worten: "Dieser Vorfall ist ein Lehrbuchbeispiel für eine Supply-Chain-Kompromittierung, die traditionelle Perimeter-Verteidigungen irrelevant macht... Das Plugin ist die Malware."