**Comprometimento da Cadeia de Suprimentos Visa Plugin do WordPress** Atores de ameaça conseguiram sequestrar o mecanismo de atualização do **Smart Slider 3 Pro**, um popular plugin para **WordPress** e **Joomla** com mais de 800.000 instalações ativas. De acordo com a **Patchstack**, uma empresa de segurança para WordPress, a versão comprometida 3.5.1.35 continha um backdoor, transformando efetivamente o plugin em um kit de ferramentas de acesso remoto. "Uma parte não autorizada obteve acesso à infraestrutura de atualização da **Nextend** e distribuiu uma build totalmente criada pelo atacante através do canal oficial de atualização", relatou a **Patchstack**. A atualização maliciosa esteve disponível por aproximadamente seis horas antes de ser detectada e removida. **Detalhes Técnicos do Backdoor** A atualização trojanizada forneceu aos atacantes capacidades extensas, incluindo: * Criação de contas de administrador maliciosas. * Execução remota de comandos do sistema via cabeçalhos HTTP. * Execução de código PHP arbitrário através de parâmetros de requisição ocultos. A **Patchstack** detalhou as funcionalidades do malware: * Execução remota de código pré-autenticada via cabeçalhos HTTP personalizados (por exemplo, `X-Cache-Status` e `X-Cache-Key`). * Um backdoor com modo de execução dupla, permitindo a execução de código PHP arbitrário e comandos do sistema operacional. * Criação de uma conta de administrador oculta (por exemplo, `wpsvc_a3f1`) disfarçada de administradores legítimos. * Ocultação de dados sensíveis usando opções personalizadas do WordPress com autoload desativado. * Mecanismos de persistência redundantes, incluindo um plugin obrigatório (`object-cache-helper.php`), anexando código ao arquivo `functions.php` do tema ativo e dropando um arquivo chamado `class-wp-locale-helper.php` no diretório `wp-includes` do WordPress. * Exfiltração de dados sensíveis para o domínio de comando e controle (C2) `wpjs1[.]com`. **Impacto e Mitigação** A **Patchstack** enfatizou a sofisticação do ataque: "O malware opera em várias etapas, cada uma projetada para garantir acesso profundo, persistente e redundante ao site comprometido." A versão gratuita do **Smart Slider 3** não foi afetada. A **Nextend** desativou seus servidores de atualização, removeu a versão maliciosa e iniciou uma investigação completa. Usuários que instalaram a versão 3.5.1.35 são instados a atualizar para a versão 3.5.1.36 imediatamente e realizar as seguintes etapas de limpeza: * Verificar e remover quaisquer contas de administrador suspeitas. * Remover o **Smart Slider 3 Pro** versão 3.5.1.35, se instalado. * Reinstalar uma versão limpa do plugin. * Remover todos os arquivos de persistência associados ao backdoor. * Excluir opções maliciosas do WordPress da tabela `wp_options`: `_wpc_ak`, `_wpc_uid`, `_wpc_uinfo`, `_perf_toolkit_source` e `wp_page_for_privacy_policy_cache`. * Limpar o arquivo `wp-config.php`, removendo `define('WP_CACHE_SALT', '<token>');` se presente. * Remover a linha `# WPCacheSalt <token>` do arquivo `.htaccess`. * Redefinir senhas de administradores e usuários do banco de dados do WordPress. * Alterar credenciais de contas FTP/SSH e de hospedagem. * Revisar os logs do site em busca de alterações não autorizadas e requisições POST incomuns. * Habilitar autenticação de dois fatores (2FA) para administradores e desabilitar a execução de PHP na pasta de uploads. **Implicações de Ataques à Cadeia de Suprimentos** A **Patchstack** concluiu: "Este incidente é um exemplo clássico de comprometimento da cadeia de suprimentos, do tipo que torna as defesas de perímetro tradicionais irrelevantes... O plugin é o malware."