Système de mise à jour de Smart Slider 3 Pro compromis dans une attaque de la chaîne d'approvisionnement
Des cybercriminels ont réussi à infiltrer l'infrastructure de mise à jour de Smart Slider 3 Pro, un plugin populaire pour WordPress et Joomla, le 8 avril 2026. Les attaquants ont obtenu un accès non autorisé aux serveurs de distribution du plugin et ont diffusé une version armée contenant plusieurs portes dérobées vers les sites web utilisant le logiciel. La mise à jour malveillante a été distribuée via le mécanisme de mise à jour automatique du plugin, affectant les installations ayant activé les mises à jour automatiques.
Smart Slider 3 Pro, développé par Nextend, est un plugin premium de diaporama et de présentation de contenu utilisé par plus d'un million de sites web dans le monde. Le plugin permet aux utilisateurs de créer des curseurs réactifs, des carrousels et des sections héroïques avec une fonctionnalité de glisser-déposer. La version compromise, identifiée comme la version 3.5.1.15, contenait du code PHP obfusqué conçu pour établir un accès persistant aux sites web affectés.
L'attaque de la chaîne d'approvisionnement représente une violation sophistiquée de l'infrastructure de signature de code et de distribution du plugin. Les chercheurs en sécurité analysant la charge utile malveillante ont découvert que les portes dérobées étaient soigneusement intégrées dans les fichiers légitimes du plugin, rendant la détection difficile via des analyses de sécurité standard. Les attaquants ont intégré le code malveillant dans des fonctions existantes, le déguisant en opérations de plugin de routine tout en maintenant la pleine fonctionnalité du logiciel original.
L'équipe de sécurité de Nextend a détecté la compromission environ 18 heures après le début de la distribution de la mise à jour malveillante. La société a immédiatement révoqué la version compromise et a diffusé une mise à jour d'urgence propre à toutes les installations affectées. Cependant, le délai a permis à la version malveillante d'atteindre des milliers de sites web avant que les mesures de confinement ne prennent effet. Le vecteur d'attaque semble avoir impliqué des identifiants de développeur compromis ou l'exploitation de vulnérabilités dans la chaîne de construction et de déploiement du plugin.
Sites WordPress et Joomla utilisant Smart Slider 3 Pro à risque
L'attaque de la chaîne d'approvisionnement affecte principalement les sites web utilisant les versions de Smart Slider 3 Pro qui ont reçu la mise à jour malveillante 3.5.1.15 entre le 8 et le 9 avril 2026. Les installations WordPress avec mises à jour automatiques activées étaient les plus vulnérables, car la version compromise a été distribuée via le mécanisme de mise à jour standard du plugin. Les sites Joomla utilisant le plugin ont fait face à une exposition similaire, bien que le vecteur d'attaque ait légèrement varié en raison des différences dans les architectures de mise à jour des systèmes de gestion de contenu.
Les administrateurs de sites web utilisant des environnements d'hébergement partagé font face à un risque accru, car les portes dérobées pourraient potentiellement fournir aux attaquants un accès à plusieurs sites hébergés sur le même serveur. Les sites de commerce électronique utilisant Smart Slider 3 Pro pour des présentations de produits et du contenu promotionnel sont particulièrement vulnérables, car les portes dérobées pourraient faciliter le vol de données, le détournement de cartes de paiement ou un accès administratif non autorisé. Les sites d'entreprise utilisant le plugin pour des présentations marketing et des portfolios de clients font également face à une exposition significative à la sécurité.
La mise à jour malveillante a affecté à la fois les détenteurs de licences gratuites et premium, bien que les utilisateurs premium avec des contrats de support actifs aient reçu des notifications et des conseils de remédiation plus rapides. Les sites web qui ont désactivé les mises à jour automatiques ou maintenu des procédures strictes de gestion des changements ont évité la compromission initiale mais restent vulnérables si les administrateurs ont appliqué manuellement la mise à jour malveillante. Les chercheurs en sécurité estiment qu'entre 50 000 et 100 000 sites web ont pu recevoir la version compromise avant son retrait.
Multiples portes dérobées déployées via la mise à jour compromise du plugin
La mise à jour malveillante de Smart Slider 3 Pro contenait trois portes dérobées distinctes conçues pour fournir un accès persistant et des capacités d'exfiltration de données. La porte dérobée principale, intégrée dans le moteur de rendu principal du plugin, établissait une web shell accessible via des requêtes HTTP spécialement conçues. Cette porte dérobée permettait aux attaquants d'exécuter du code PHP arbitraire, de télécharger des logiciels malveillants supplémentaires et d'accéder à des fichiers sensibles du site web, y compris des bases de données de configuration et des identifiants d'utilisateur.
Une porte dérobée secondaire se concentrait sur la fonctionnalité spécifique à WordPress, s'intégrant dans les mécanismes d'authentification des utilisateurs du système de gestion de contenu. Ce composant pouvait créer des comptes administratifs cachés, modifier les permissions des utilisateurs existants et contourner les plugins de sécurité qui surveillent les tentatives de connexion. La troisième porte dérobée ciblait les opérations de base de données, enregistrant des informations sensibles, y compris les mots de passe des utilisateurs, les détails de paiement et les données personnelles vers des serveurs de commande et de contrôle externes.
Les administrateurs de sites web doivent immédiatement vérifier leur version de Smart Slider 3 Pro et mettre à jour vers la dernière version propre. Les sites utilisant la version 3.5.1.15 doivent être considérés comme compromis et nécessitent un audit de sécurité complet. Les administrateurs doivent examiner les journaux du serveur web pour détecter des requêtes HTTP suspectes, examiner les enregistrements de base de données pour des comptes d'utilisateurs non autorisés et rechercher des logiciels malveillants supplémentaires qui pourraient avoir été déployés via les portes dérobées. Le catalogue des vulnérabilités exploitées connues de la CISA fournit des conseils sur les procédures de réponse aux attaques de la chaîne d'approvisionnement.
Nextend a publié la version 3.5.1.16 comme mise à jour de sécurité d'urgence qui supprime tout code malveillant et implémente des vérifications d'intégrité supplémentaires. La société recommande aux utilisateurs affectés de changer tous les mots de passe administratifs, de revoir les comptes d'utilisateurs pour des ajouts non autorisés et de mettre en œuvre une surveillance de sécurité supplémentaire. Les organisations devraient également envisager de désactiver temporairement le plugin jusqu'à ce que des audits de sécurité complets puissent être effectués pour s'assurer qu'aucune compromission résiduelle ne subsiste.
