Beberapa plugin WordPress dari ShapedPlugin disusupi dalam serangan rantai pasokan yang mendistribusikan rilis yang terinfeksi ke pelanggan yang membayar melalui sistem pembaruan resmi vendor.
Malware yang dikirimkan dengan cara ini memasang plugin palsu yang meniru komponen WooCommerce, mencuri kredensial, dan memberikan kemampuan penulisan file jarak jauh kepada operator.
ShapedPlugin adalah vendor plugin WordPress yang berspesialisasi dalam komponen front-end/UI dan plugin tampilan konten, dengan total basis instalasi aktif lebih dari 400.000 untuk produk gratis.
Insiden keamanan hanya memengaruhi tiga plugin berbayar: Product Slider Pro sebelum 3.5.4 untuk WooCommerce, Real Testimonials Pro 3.2.5, dan Smart Post Show Pro sebelum 4.0.2.
Menurut data yang dikumpulkan perusahaan keamanan WordPress Defiant dari firewall WordFence-nya, pintu belakang dimasukkan ke dalam versi Pro ShapedPlugin pada 21 Mei, dan laporan pelanggan pertama tentang pembaruan yang berpotensi berbahaya muncul pada 10 Juni.
Para peneliti mengkonfirmasi pelanggaran tersebut setelah mengunduh plugin yang terinfeksi dari situs ShapedPlugin pada 12 Juni, dan penerbit mengakui kejadian tersebut pada 16 Juni.
“Tim kami segera memulai penyelidikan setelah mengidentifikasi kekhawatiran tersebut, dan kami telah menerapkan langkah-langkah yang diperlukan untuk memitigasi masalah tersebut,” ShapedPlugin memberi tahu Wordfence.
Penerbit menambahkan bahwa mereka sedang mempersiapkan rilis plugin yang diperbarui dan memvalidasinya sebelum mendorongnya ke saluran pembaruan.
Kompromi rantai pasokan
Menurut analisis Wordfence, plugin yang terinfeksi berisi file loader berbahaya (LicenseLoader.php) yang aktif ketika administrator WordPress mengakses panel admin situs web.
Ia menghubungi server perintah-dan-kontrol (C2), mengunduh tahap kedua (pintu belakang), menginstalnya sebagai plugin palsu (langganan woocommerce atau pemberitahuan woocommerce), melaporkan kepada penyerang, dan kemudian menghapus sendiri untuk menghapus bukti.
Plugin palsu, yang disembunyikan dari daftar plugin WordPress, mencoba mencuri informasi berikut di situs yang terinfeksi:
- Kredensial login WordPress (nama pengguna, kata sandi, cookie sesi, peran pengguna, alamat IP, dan detail browser)
- Rahasia otentikasi dua faktor (2FA) dari plugin keamanan WordPress yang populer
- Kredensial basis data dan kunci otentikasi WordPress dari wp-config.php
- Detail akun administrator
- Kredensial layanan SMTP/email
- Data pesanan WooCommerce dari tiga bulan terakhir, termasuk informasi metode pembayaran
Para peneliti percaya ini adalah kompromi build pipeline, berdasarkan pada modifikasi file, pola stempel waktu yang menyarankan injeksi otomatis, dan referensi build Git yang terdapat dalam paket.
Selain itu, rilis yang dihosting di WordPress.org dipastikan bersih, menunjukkan bahwa penyerang memperoleh akses ke infrastruktur rilis ShapedPlugin.
WordPress saat ini melacak insiden tersebut menggunakan CVE-2026-10735, sementara CVE-2026-49777 juga dikirimkan sebagai duplikat.
Kompromi ShapedPlugin muncul tak lama setelah produk WordPress besar lainnya, OptinMonster, hadir dilanggar dalam serangan rantai pasokan CDN mungkin karena cacat pada server pemasaran yang memungkinkan peretas mencuri kredensial akun CDN.
Namun, dalam kasus ShapedPlugin, titik komprominya tampaknya adalah pipeline build.
BleepingComputer telah menghubungi vendor plugin untuk meminta pernyataan, dan perusahaan mengarahkan kami ke rilis Real Testimonial Pro versi 3.2.6yang mencantumkan satu perbaikan yang dijelaskan sebagai “Perbaikan: Beberapa peringatan terkait WPCS.”
ShapedPlugin juga mengatakan bahwa pernyataan resmi akan dipublikasikan setelah konfirmasi Wordfence bahwa patch tersebut mengatasi masalah tersebut.
Menurut Wordfence, perbaikan telah tersedia pada Product Slider Pro di versi 3.5.4 dan Smart Post Tampilkan Pro di versi 4.0.2.
Jika plugin WooCommerce palsu ditemukan, administrator situs web disarankan untuk mengatur ulang semua kata sandi di situs mereka, membuat ulang rahasia otentikasi dua faktor (2FA), dan meninjau daftar pengguna untuk penambahan jahat.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
