یک حمله زنجیره تأمین، چندین پلاگین حرفهای وردپرس شرکت ShapedPlugin را هدف قرار داده است. در این حمله، مهاجمان با دستکاری کانالهای رسمی انتشار نسخهها، کدهای بکدور را به نسخههای Pro این پلاگینها تزریق کردند. بر اساس تحلیل شرکت امنیتی Wordfence، این حمله زنجیره تأمین زمانی رخ داد که عاملان تهدید توانستند به فرآیند ساخت و توزیع توسعهدهنده نفوذ کرده و نسخههای آلوده را از طریق سیستم رسمی بهروزرسانی در اختیار کاربران قرار دهند.
منشأ حمله زنجیره تأمین در پلاگینهای ShapedPlugin
طبق گزارش Wordfence، مهاجمان با نفوذ به پایپلاین ساخت و توزیع (Build and Distribution Pipeline) شرکت، کدهای بکدور را به نسخههای Pro پلاگینها تزریق کردند. این نسخهها از طریق کانال رسمی بهروزرسانی دارای مجوز و با استفاده از زیرساخت Easy Digital Downloads (EDD) از دامنه account.shapedplugin[.]com در اختیار کاربران قرار گرفتهاند.
این حمله زنجیره تأمین نسخههای زیر از پلاگینهای وردپرس را تحت تأثیر قرار داده است:
- Product Slider Pro for WooCommerce نسخههای پیش از 3.5.4
- Real Testimonials Pro نسخه 3.2.5
- Smart Post Show Pro نسخههای پیش از 4.0.2
با این حال، لازم به ذکر است که تنها نسخههای Pro توزیعشده از طریق زیرساخت شرکت تحت تأثیر این حمله قرار گرفتهاند. نسخههای رایگان این پلاگینها که از طریق مخزن رسمی WordPress.org منتشر میشوند، تحت تأثیر این رخداد نیستند.
آسیبپذیریهای ثبتشده در جریان این حمله
برای این رخداد، دو شناسه CVE ثبت شده است:
- CVE-2026-49777: این شناسه برای حمله زنجیره تأمین مرتبط با پلاگین Product Slider Pro for WooCommerce ثبت شده و با امتیاز 10.0 در سیستم CVSS، بالاترین سطح شدت را نشان میدهد.
- CVE-2026-10735: این شناسه به کل رخداد حمله اختصاص یافته و امتیاز 9.8 در سیستم CVSS را دریافت کرده است.
نحوه عملکرد بدافزار در پلاگینهای آلوده
نسخههای آلوده این پلاگینها حاوی یک لودر هستند که با هر بار بارگذاری صفحات بخش ادمین وردپرس اجرا میشود. این لودر یک پیلود را از سرور راه دور با آدرس 194.76.217[.]28:2871 دریافت میکند. سپس پیلود روی وبسایت نصب شده و بهعنوان یک پلاگین جعلی فعال میشود.
پس از فعالسازی، بدافزار اطلاعات دامنه قربانی را به سرور مهاجم ارسال کرده و سپس خود را حذف میکند تا ردپای حمله را از بین ببرد و فرایند پاسخگویی به رخداد (Incident Response) را دشوارتر کند. همچنین این پلاگین خود را از فهرست پلاگینهای بخش ادمین وردپرس مخفی میکند و قابلیت انجام اقدامات زیر را دارد:
- جمعآوری نام کاربری و رمز عبور بهصورت متن ساده (Plaintext)
- سرقت کدهای احراز هویت دومرحلهای (2FA)
قابلیتهای پایداری و دسترسی مهاجمان
بررسیهای فنی نشان میدهد این بدافزار برای حفظ دسترسی مهاجمان، چندین مکانیزم پایداری (Persistence) ایجاد میکند. این قابلیتها شامل موارد زیر هستند:
- نوشتن دلخواه فایلها (Arbitrary File Write) از طریق یک Endpoint سفارشی RESTدر صورت ارائه یک توکن احراز هویت معتبر
- استقرار یک وبشل (Web Shell) با قابلیت اجرای دستورات روی سرور
علاوه بر این، بدافزار از یک فایل PHP با نام install-persistent.php که بهعنوان بخشی از پلاگین ارائه شده است، برای استخراج اطلاعات حساس زیر استفاده میکند:
- محتوای کامل فایل wp-config.php شامل اطلاعات اتصال به پایگاه داده، کلیدهای احراز هویت و تنظیمات دیباگ (Debug)
- فهرست تمامی حسابهای ادمین به همراه تاریخ ثبتنام آنها
- اطلاعات احراز هویت پلاگینهای ایمیل WP Mail SMTP، Post SMTP و Easy WP SMTP
- اطلاعات سفارشهای WooCommerce مربوط به سه ماه گذشته، به همراه جزئیات روشهای پرداخت
پس از نمایش این اطلاعات، فایل install-persistent.php بهصورت خودکار حذف میشود. شواهد موجود حاکی از آن است که این حمله زنجیره تأمین با نفوذ به پایپلاین ساخت انجام شده و مهاجمان بستههای نرمافزاری را بهصورت مستقیم دستکاری نکردهاند.
چرا این حمله زنجیره تأمین خطرناک است؟
یکی از جنبههای نگرانکننده این حمله زنجیره تأمین آن است که قربانیان اصلی، کاربرانی هستند که پلاگینها را بهطور قانونی خریداری کرده و بهروزرسانیها را مستقیماً از سیستم رسمی شرکت دریافت کردهاند. به عبارت دیگر، حتی کانالهای رسمی و معتبر توزیع نرمافزار نیز میتوانند در صورت نفوذ مهاجمان به بردار حمله تبدیل شوند.
واکنش ShapedPlugin و توصیههای امنیتی
شرکت ShapedPlugin با تایید وقوع این حمله زنجیره تأمین، اعلام کرد که در حال بازبینی فرآیندهای توزیع و انتشار محصولات خود است تا از یکپارچگی (Integrity) محصولات در نسخههای آینده اطمینان حاصل کند. همچنین انتظار میرود نسخههای جدید پلاگینهای تحت تأثیر، پس از انجام بررسیهای جامع امنیتی و آزمونهای اعتبارسنجی منتشر شوند.
به مدیران وبسایتهایی که نسخههای آلوده این پلاگینها را نصب کردهاند، توصیه میشود اقدامات زیر را در اسرع وقت انجام دهند:
- تغییر تمام رمزهای عبور کاربران
- ابطال و تولید مجدد اطلاعات محرمانه احراز هویت دومرحلهای برای همه کاربران
- بررسی حسابهای ادمین بهمنظور شناسایی هرگونه حساب اضافهشده بدون مجوز
- بررسی تنظیمات پلاگینهای ایمیل برای شناسایی هرگونه تغییر در اطلاعات SMTP