🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Atores de ameaças desconhecidos sequestraram o sistema de atualização do plug-in Smart Slider 3 Pro para WordPress e Joomla para enviar uma versão envenenada contendo um backdoor.
O incidente afeta o Smart Slider 3 Pro versão 3.5.1.35 para WordPress, de acordo com a empresa de segurança WordPress Patchstack. Smart Slider 3 é um plug-in de controle deslizante popular para WordPress com mais de 800.000 instalações ativas em suas edições gratuitas e Pro.
"Uma parte não autorizada obteve acesso à infraestrutura de atualização do Nextend e distribuiu uma versão totalmente criada pelo invasor por meio do canal de atualização oficial", disse a empresa. "Qualquer site atualizado para 3.5.1.35 entre seu lançamento em 7 de abril de 2026 e sua detecção aproximadamente 6 horas depois recebeu um kit de ferramentas de acesso remoto totalmente armado."
A Nextend, que mantém o plug-in, disse que uma parte não autorizada obteve acesso não autorizado ao seu sistema de atualização e enviou uma versão maliciosa (3.5.1.35 Pro) que permaneceu acessível por aproximadamente seis horas, antes de ser detectada e extraída.
A atualização trojanizada inclui a capacidade de criar contas de administrador não autorizadas, bem como remover backdoors que executam comandos do sistema remotamente por meio de cabeçalhos HTTP e executam código PHP arbitrário por meio de parâmetros de solicitação ocultos. De acordo com o Patchstack, o malware vem com os seguintes recursos:
Obtenha execução remota de código pré-autenticado por meio de cabeçalhos HTTP personalizados, como X-Cache-Status e X-Cache-Key, o último dos quais contém o código que é passado para "shell_exec()".
Um backdoor que suporta modos de execução dupla, permitindo ao invasor executar código PHP arbitrário e comandos do sistema operacional no servidor.
Crie uma conta de administrador oculta (por exemplo, "wpsvc_a3f1") para acesso persistente e torne-a invisível para administradores legítimos, alterando os filtros "pre_user_query" e "views_users".
Use três opções personalizadas do WordPress definidas com a configuração "autoload" desabilitada para reduzir sua visibilidade em dumps de opções: _wpc_ak (uma chave de autenticação secreta), _wpc_uid (ID de usuário da conta de administrador oculta) e _wpc_uinfo (JSON codificado em Base64 contendo o nome de usuário, senha e e-mail em texto simples da conta não autorizada).
Instale a persistência em três locais para redundância: crie um plugin obrigatório com o nome de arquivo "object-cache-helper.php" para fazer com que pareça um componente de cache legítimo, anexe o componente backdoor ao arquivo "functions.php" do tema ativo e solte um arquivo chamado "class-wp-locale-helper.php" no diretório "wp-includes" do WordPress.
Exfiltre dados contendo URL do site, chave secreta do backdoor, nome do host, versão do Smart Slider 3, versão do WordPress e versão do PHP, endereço de e-mail do administrador do WordPress, nome do banco de dados WordPress, nome de usuário e senha em texto simples da conta do administrador e uma lista de todos os métodos de persistência instalados no domínio de comando e controle (C2) "wpjs1[.]com".
"O malware opera em vários estágios, cada um projetado para garantir acesso profundo, persistente e redundante ao site comprometido", disse Patchstack.
“A sofisticação da carga útil é notável: em vez de um simples webshell, o invasor implantou um kit de ferramentas de persistência multicamadas com vários pontos de reentrada independentes e redundantes, ocultação do usuário, execução resiliente de comandos com cadeias de fallback e registro C2 automático com exfiltração completa de credenciais.
É importante notar que a versão gratuita do plugin WordPress não é afetada. Para conter o problema, a Nextend desligou os servidores de atualização, removeu a versão maliciosa e iniciou uma investigação completa sobre o incidente.
Os usuários que possuem a versão trojanizada instalada são aconselhados a atualizar para a versão 3.5.1.36. Além disso, recomenda-se que os usuários que instalaram a versão não autorizada executem as seguintes etapas de limpeza:
Verifique se há contas de administrador suspeitas ou desconhecidas e remova-as.
Remova o Smart Slider 3 Pro versão 3.5.1.35 se instalado.
Reinstale uma versão limpa do plugin.
Remova todos os arquivos de persistência que permitem que o backdoor persista no site.
Exclua opções maliciosas do WordPress da tabela “wp_options”: _wpc_ak, _wpc_uid, _wpc_uinfo, _perf_toolkit_source e wp_page_for_privacy_policy_cache.
Limpe o arquivo “wp-config.php”, incluindo a remoção de “define('WP_CACHE_SALT', '');” se existir.
Remova a linha “# WPCacheSalt” do arquivo “.htaccess” localizado na pasta raiz do WordPress.
Redefina as senhas do administrador e do usuário do banco de dados WordPress.
Altere as credenciais da conta de hospedagem e FTP/SSH.
Revise o site e os registros em busca de alterações não autorizadas e solicitações POST incomuns.
Habilite a autenticação de dois fatores (2FA) para administradores e desabilite a execução de PHP na pasta de uploads.
“Este incidente é um comprometimento clássico da cadeia de suprimentos, do tipo que torna irrelevantes as defesas perimetrais tradicionais”, disse Patchstack. "Gerador
O incidente afeta o Smart Slider 3 Pro versão 3.5.1.35 para WordPress, de acordo com a empresa de segurança WordPress Patchstack. Smart Slider 3 é um plug-in de controle deslizante popular para WordPress com mais de 800.000 instalações ativas em suas edições gratuitas e Pro.
"Uma parte não autorizada obteve acesso à infraestrutura de atualização do Nextend e distribuiu uma versão totalmente criada pelo invasor por meio do canal de atualização oficial", disse a empresa. "Qualquer site atualizado para 3.5.1.35 entre seu lançamento em 7 de abril de 2026 e sua detecção aproximadamente 6 horas depois recebeu um kit de ferramentas de acesso remoto totalmente armado."
A Nextend, que mantém o plug-in, disse que uma parte não autorizada obteve acesso não autorizado ao seu sistema de atualização e enviou uma versão maliciosa (3.5.1.35 Pro) que permaneceu acessível por aproximadamente seis horas, antes de ser detectada e extraída.
A atualização trojanizada inclui a capacidade de criar contas de administrador não autorizadas, bem como remover backdoors que executam comandos do sistema remotamente por meio de cabeçalhos HTTP e executam código PHP arbitrário por meio de parâmetros de solicitação ocultos. De acordo com o Patchstack, o malware vem com os seguintes recursos:
Obtenha execução remota de código pré-autenticado por meio de cabeçalhos HTTP personalizados, como X-Cache-Status e X-Cache-Key, o último dos quais contém o código que é passado para "shell_exec()".
Um backdoor que suporta modos de execução dupla, permitindo ao invasor executar código PHP arbitrário e comandos do sistema operacional no servidor.
Crie uma conta de administrador oculta (por exemplo, "wpsvc_a3f1") para acesso persistente e torne-a invisível para administradores legítimos, alterando os filtros "pre_user_query" e "views_users".
Use três opções personalizadas do WordPress definidas com a configuração "autoload" desabilitada para reduzir sua visibilidade em dumps de opções: _wpc_ak (uma chave de autenticação secreta), _wpc_uid (ID de usuário da conta de administrador oculta) e _wpc_uinfo (JSON codificado em Base64 contendo o nome de usuário, senha e e-mail em texto simples da conta não autorizada).
Instale a persistência em três locais para redundância: crie um plugin obrigatório com o nome de arquivo "object-cache-helper.php" para fazer com que pareça um componente de cache legítimo, anexe o componente backdoor ao arquivo "functions.php" do tema ativo e solte um arquivo chamado "class-wp-locale-helper.php" no diretório "wp-includes" do WordPress.
Exfiltre dados contendo URL do site, chave secreta do backdoor, nome do host, versão do Smart Slider 3, versão do WordPress e versão do PHP, endereço de e-mail do administrador do WordPress, nome do banco de dados WordPress, nome de usuário e senha em texto simples da conta do administrador e uma lista de todos os métodos de persistência instalados no domínio de comando e controle (C2) "wpjs1[.]com".
"O malware opera em vários estágios, cada um projetado para garantir acesso profundo, persistente e redundante ao site comprometido", disse Patchstack.
“A sofisticação da carga útil é notável: em vez de um simples webshell, o invasor implantou um kit de ferramentas de persistência multicamadas com vários pontos de reentrada independentes e redundantes, ocultação do usuário, execução resiliente de comandos com cadeias de fallback e registro C2 automático com exfiltração completa de credenciais.
É importante notar que a versão gratuita do plugin WordPress não é afetada. Para conter o problema, a Nextend desligou os servidores de atualização, removeu a versão maliciosa e iniciou uma investigação completa sobre o incidente.
Os usuários que possuem a versão trojanizada instalada são aconselhados a atualizar para a versão 3.5.1.36. Além disso, recomenda-se que os usuários que instalaram a versão não autorizada executem as seguintes etapas de limpeza:
Verifique se há contas de administrador suspeitas ou desconhecidas e remova-as.
Remova o Smart Slider 3 Pro versão 3.5.1.35 se instalado.
Reinstale uma versão limpa do plugin.
Remova todos os arquivos de persistência que permitem que o backdoor persista no site.
Exclua opções maliciosas do WordPress da tabela “wp_options”: _wpc_ak, _wpc_uid, _wpc_uinfo, _perf_toolkit_source e wp_page_for_privacy_policy_cache.
Limpe o arquivo “wp-config.php”, incluindo a remoção de “define('WP_CACHE_SALT', '
Remova a linha “# WPCacheSalt
Redefina as senhas do administrador e do usuário do banco de dados WordPress.
Altere as credenciais da conta de hospedagem e FTP/SSH.
Revise o site e os registros em busca de alterações não autorizadas e solicitações POST incomuns.
Habilite a autenticação de dois fatores (2FA) para administradores e desabilite a execução de PHP na pasta de uploads.
“Este incidente é um comprometimento clássico da cadeia de suprimentos, do tipo que torna irrelevantes as defesas perimetrais tradicionais”, disse Patchstack. "Gerador
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #atualização #backdoored #do #smart #slider #3 #pro #distribuída #por #meio #de #servidores #nextend #comprometidos
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário