**Compromission de la chaîne d'approvisionnement ciblant un plugin WordPress** Des acteurs malveillants ont réussi à détourner le mécanisme de mise à jour de **Smart Slider 3 Pro**, un plugin populaire pour **WordPress** et **Joomla** comptant plus de 800 000 installations actives. Selon **Patchstack**, une entreprise spécialisée dans la sécurité WordPress, la version compromise 3.5.1.35 contenait une backdoor, transformant efficacement le plugin en un kit d'accès à distance. « Une partie non autorisée a accédé à l'infrastructure de mise à jour de **Nextend** et a distribué une version entièrement conçue par l'attaquant via le canal de mise à jour officiel », a rapporté **Patchstack**. La mise à jour malveillante a été disponible pendant environ six heures avant d'être détectée et supprimée. **Détails techniques de la backdoor** La mise à jour truquée a fourni aux attaquants des capacités étendues, notamment : * La création de comptes administrateurs non autorisés. * L'exécution de commandes système à distance via les en-têtes HTTP. * L'exécution de code PHP arbitraire via des paramètres de requête cachés. **Patchstack** a détaillé les fonctionnalités du malware : * Exécution de code à distance pré-authentifiée via des en-têtes HTTP personnalisés (par exemple, `X-Cache-Status` et `X-Cache-Key`). * Une backdoor à double exécution permettant l'exécution de code PHP arbitraire et de commandes système. * La création d'un compte administrateur caché (par exemple, `wpsvc_a3f1`) dissimulé aux administrateurs légitimes. * La dissimulation de données sensibles à l'aide d'options WordPress personnalisées avec chargement automatique désactivé. * Des mécanismes de persistance redondants, y compris un plugin obligatoire (`object-cache-helper.php`), l'ajout de code au fichier `functions.php` du thème actif, et le dépôt d'un fichier nommé `class-wp-locale-helper.php` dans le répertoire `wp-includes` de WordPress. * L'exfiltration de données sensibles vers le domaine de commande et de contrôle (C2) `wpjs1[.]com`. **Impact et atténuation** **Patchstack** a souligné la sophistication de l'attaque : « Le malware opère en plusieurs étapes, chacune conçue pour assurer un accès profond, persistant et redondant au site compromis. » La version gratuite de **Smart Slider 3** n'a pas été affectée. **Nextend** a fermé ses serveurs de mise à jour, supprimé la version malveillante et lancé une enquête complète. Les utilisateurs ayant installé la version 3.5.1.35 sont invités à mettre à jour immédiatement vers la version 3.5.1.36 et à effectuer les étapes de nettoyage suivantes : * Vérifier et supprimer tous les comptes administrateurs suspects. * Supprimer la version 3.5.1.35 de **Smart Slider 3 Pro** si elle est installée. * Réinstaller une version propre du plugin. * Supprimer tous les fichiers de persistance associés à la backdoor. * Supprimer les options WordPress malveillantes de la table `wp_options` : `_wpc_ak`, `_wpc_uid`, `_wpc_uinfo`, `_perf_toolkit_source`, et `wp_page_for_privacy_policy_cache`. * Nettoyer le fichier `wp-config.php`, en supprimant `define('WP_CACHE_SALT', '<token>');` s'il est présent. * Supprimer la ligne `# WPCacheSalt <token>` du fichier `.htaccess`. * Réinitialiser les mots de passe des administrateurs et des utilisateurs de la base de données WordPress. * Changer les identifiants FTP/SSH et des comptes d'hébergement. * Examiner les journaux du site web pour détecter les modifications non autorisées et les requêtes POST inhabituelles. * Activer l'authentification à deux facteurs (2FA) pour les administrateurs et désactiver l'exécution de PHP dans le dossier des téléversements. **Implications des attaques de la chaîne d'approvisionnement** **Patchstack** a conclu : « Cet incident est un exemple typique de compromission de la chaîne d'approvisionnement, du genre qui rend les défenses périmétriques traditionnelles obsolètes... Le plugin est le malware. »