O **Smart Slider 3** para **WordPress**, usado em mais de 900.000 sites, sofreu uma grande violação de segurança após hackers sequestrarem seu sistema de atualização. A atualização maliciosa, afetando especificamente a versão Pro 3.5.1.35, foi distribuída em 7 de abril, potencialmente comprometendo inúmeros sites. Os usuários são instados a atualizar imediatamente para a versão 3.5.1.36 ou reverter para a 3.5.1.34 ou anterior. ### Malware Multi-Camada De acordo com uma análise da **PatchStack**, o malware injetado é um kit de ferramentas sofisticado e multi-camada incorporado no arquivo principal do plugin. Ele mantém a funcionalidade normal do plugin enquanto introduz várias vulnerabilidades críticas: * Execução remota de comandos não autenticada via cabeçalhos HTTP especialmente criados. * Backdoor autenticado com execução de comandos PHP eval e do sistema operacional. * Roubo automatizado de credenciais.  *Criação de uma conta de administrador oculta* *Fonte: PatchStack* ### Mecanismos de Persistência O malware emprega múltiplas camadas de persistência para garantir sua operação contínua, mesmo após a tomada de medidas de segurança: * **Conta de Administrador Oculta:** Criação de uma conta de administrador oculta com credenciais armazenadas no banco de dados. * **Diretório 'mu-plugins':** Criação de um diretório 'mu-plugins' e um plugin obrigatório disfarçado de um componente de cache legítimo. Esses plugins são carregados automaticamente e não podem ser desativados pelo painel do WordPress. * **Backdoor no Tema:** Injeção de um backdoor no arquivo *functions.php* do tema ativo, garantindo persistência enquanto o tema permanecer ativo. * **Injeção no Diretório *wp-includes*:** Um arquivo PHP imitando uma classe legítima do core do WordPress é injetado no diretório *wp-includes*. Este backdoor depende de um arquivo `.cache_key` para autenticação, contornando as alterações de credenciais do banco de dados. ### Instalações Joomla Afetadas O fornecedor emitiu um aviso semelhante para instalações **Joomla**, afirmando que a versão 3.5.1.35 do plugin pode criar uma conta de administrador oculta (geralmente com o prefixo *wpsvc_*) e instalar backdoors adicionais nos diretórios `/cache` e `/media`. Ele também rouba informações do site e credenciais. ### Ações Recomendadas A atualização maliciosa foi distribuída em 7 de abril. A equipe do **Smart Slider** recomenda restaurar backups de 5 de abril para levar em conta possíveis diferenças de fuso horário. Se nenhum backup estiver disponível, remova o plugin comprometido e instale uma versão limpa (3.5.1.36). Administradores que encontrarem a versão comprometida do plugin devem assumir o comprometimento total do site e tomar as seguintes ações: * Excluir usuários, arquivos e entradas de banco de dados maliciosos. * Reinstalar o core do WordPress, plugins e temas de fontes confiáveis. * Rotacionar todas as credenciais (WP, DB, FTP/SSH, hospedagem, e-mail). * Regenerar as chaves de segurança do WordPress (salts). * Escanear em busca de malware restante e revisar logs. O fornecedor oferece um guia detalhado de limpeza manual para WordPress e Joomla, incluindo: * Colocar o site em modo de manutenção e criar um backup. * Remover usuários administradores não autorizados. * Remover todos os componentes maliciosos. * Reinstalar todos os arquivos do core, plugins e temas. * Redefinir todas as senhas. * Escanear em busca de malware adicional. As recomendações finais incluem o fortalecimento do site ativando a autenticação de dois fatores (2FA), atualizando componentes, restringindo o acesso administrativo e usando senhas fortes e exclusivas.