خانه » پلاگین‌های وردپرس شرکت ShapedPlugin در جریان یک حمله زنجیره تأمین به بکدور آلوده شدند

پلاگین‌های وردپرس شرکت ShapedPlugin در جریان یک حمله زنجیره تأمین به بکدور آلوده شدند

توسط Vulnerbyte_News
19 بازدید

یک حمله زنجیره تأمین، چندین پلاگین حرفه‌ای وردپرس شرکت ShapedPlugin را هدف قرار داده است. در این حمله، مهاجمان با دستکاری کانال‌های رسمی انتشار نسخه‌ها، کدهای بکدور را به نسخه‌های Pro این پلاگین‌ها تزریق کردند. بر اساس تحلیل شرکت امنیتی Wordfence، این حمله زنجیره تأمین زمانی رخ داد که عاملان تهدید توانستند به فرآیند ساخت و توزیع توسعه‌دهنده نفوذ کرده و نسخه‌های آلوده را از طریق سیستم رسمی به‌روزرسانی در اختیار کاربران قرار دهند.

منشأ حمله زنجیره تأمین در پلاگین‌های ShapedPlugin

طبق گزارش Wordfence، مهاجمان با نفوذ به پایپ‌لاین ساخت و توزیع (Build and Distribution Pipeline) شرکت، کدهای بکدور را به نسخه‌های Pro پلاگین‌ها تزریق کردند. این نسخه‌ها از طریق کانال رسمی به‌روزرسانی دارای مجوز و با استفاده از زیرساخت Easy Digital Downloads (EDD) از دامنه account.shapedplugin[.]com در اختیار کاربران قرار گرفته‌اند.

این حمله زنجیره تأمین نسخه‌های زیر از پلاگین‌های وردپرس را تحت تأثیر قرار داده است:

  • Product Slider Pro for WooCommerce نسخه‌های پیش از 3.5.4
  • Real Testimonials Pro نسخه 3.2.5
  • Smart Post Show Pro نسخه‌های پیش از 4.0.2

با این حال، لازم به ذکر است که تنها نسخه‌های Pro توزیع‌شده از طریق زیرساخت شرکت تحت تأثیر این حمله قرار گرفته‌اند. نسخه‌های رایگان این پلاگین‌ها که از طریق مخزن رسمی WordPress.org منتشر می‌شوند، تحت تأثیر این رخداد نیستند.

آسیب‌پذیری‌های ثبت‌شده در جریان این حمله

برای این رخداد، دو شناسه CVE ثبت شده است:

  • CVE-2026-49777: این شناسه برای حمله زنجیره تأمین مرتبط با پلاگین Product Slider Pro for WooCommerce ثبت شده و با امتیاز 10.0 در سیستم CVSS، بالاترین سطح شدت را نشان می‌دهد.
  • CVE-2026-10735: این شناسه به کل رخداد حمله اختصاص یافته و امتیاز 9.8 در سیستم CVSS را دریافت کرده است.

نحوه عملکرد بدافزار در پلاگین‌های آلوده

نسخه‌های آلوده این پلاگین‌ها حاوی یک لودر هستند که با هر بار بارگذاری صفحات بخش ادمین وردپرس اجرا می‌شود. این لودر یک پیلود را از سرور راه دور با آدرس 194.76.217[.]28:2871 دریافت می‌کند. سپس پیلود روی وب‌سایت نصب شده و به‌عنوان یک پلاگین جعلی فعال می‌شود.

پس از فعال‌سازی، بدافزار اطلاعات دامنه قربانی را به سرور مهاجم ارسال کرده و سپس خود را حذف می‌کند تا ردپای حمله را از بین ببرد و فرایند پاسخ‌گویی به رخداد (Incident Response) را دشوارتر کند. همچنین این پلاگین خود را از فهرست پلاگین‌های بخش ادمین وردپرس مخفی می‌کند و قابلیت انجام اقدامات زیر را دارد:

  • جمع‌آوری نام کاربری و رمز عبور به‌صورت متن ساده (Plaintext)
  • سرقت کدهای احراز هویت دومرحله‌ای (2FA)

قابلیت‌های پایداری و دسترسی مهاجمان

بررسی‌های فنی نشان می‌دهد این بدافزار برای حفظ دسترسی مهاجمان، چندین مکانیزم پایداری (Persistence) ایجاد می‌کند. این قابلیت‌ها شامل موارد زیر هستند:

  • نوشتن دلخواه فایل‌ها (Arbitrary File Write) از طریق یک Endpoint سفارشی RESTدر صورت ارائه یک توکن احراز هویت معتبر
  • استقرار یک وب‌شل (Web Shell) با قابلیت اجرای دستورات روی سرور

علاوه بر این، بدافزار از یک فایل PHP با نام install-persistent.php که به‌عنوان بخشی از پلاگین ارائه شده است، برای استخراج اطلاعات حساس زیر استفاده می‌کند:

  • محتوای کامل فایل wp-config.php شامل اطلاعات اتصال به پایگاه داده، کلیدهای احراز هویت و تنظیمات دیباگ (Debug)
  • فهرست تمامی حساب‌های ادمین به همراه تاریخ ثبت‌نام آن‌ها
  • اطلاعات احراز هویت پلاگین‌های ایمیل WP Mail SMTP، Post SMTP و Easy WP SMTP
  • اطلاعات سفارش‌های WooCommerce مربوط به سه ماه گذشته، به همراه جزئیات روش‌های پرداخت

پس از نمایش این اطلاعات، فایل install-persistent.php به‌صورت خودکار حذف می‌شود. شواهد موجود حاکی از آن است که این حمله زنجیره تأمین با نفوذ به پایپ‌لاین ساخت انجام شده و مهاجمان بسته‌های نرم‌افزاری را به‌صورت مستقیم دستکاری نکرده‌اند.

چرا این حمله زنجیره تأمین خطرناک است؟

یکی از جنبه‌های نگران‌کننده این حمله زنجیره تأمین آن است که قربانیان اصلی، کاربرانی هستند که پلاگین‌ها را به‌طور قانونی خریداری کرده و به‌روزرسانی‌ها را مستقیماً از سیستم رسمی شرکت دریافت کرده‌اند. به عبارت دیگر، حتی کانال‌های رسمی و معتبر توزیع نرم‌افزار نیز می‌توانند در صورت نفوذ مهاجمان به بردار حمله تبدیل شوند.

واکنش ShapedPlugin و توصیه‌های امنیتی

شرکت ShapedPlugin با تایید وقوع این حمله زنجیره تأمین، اعلام کرد که در حال بازبینی فرآیندهای توزیع و انتشار محصولات خود است تا از یکپارچگی (Integrity) محصولات در نسخه‌های آینده اطمینان حاصل کند. همچنین انتظار می‌رود نسخه‌های جدید پلاگین‌های تحت تأثیر، پس از انجام بررسی‌های جامع امنیتی و آزمون‌های اعتبارسنجی منتشر شوند.

به مدیران وب‌سایت‌هایی که نسخه‌های آلوده این پلاگین‌ها را نصب کرده‌اند، توصیه می‌شود اقدامات زیر را در اسرع وقت انجام دهند:

  • تغییر تمام رمزهای عبور کاربران
  • ابطال و تولید مجدد اطلاعات محرمانه احراز هویت دومرحله‌ای برای همه کاربران
  • بررسی حساب‌های ادمین به‌منظور شناسایی هرگونه حساب اضافه‌شده بدون مجوز
  • بررسی تنظیمات پلاگین‌های ایمیل برای شناسایی هرگونه تغییر در اطلاعات SMTP

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید