详细内容或原文请订阅后点击阅览
ShapedPlugin 供应链攻击后门专业插件更新
攻击者在 ShapedPlugin Pro 更新中添加后门,部署恶意软件窃取凭据、2FA 机密并授予完全站点访问权限。如果您在 2026 年 4 月至 6 月期间安装了 ShapedPlugin Pro 插件并保持更新,您的网站可能会受到威胁。不是因为你做错了什么,而是因为供应商自己的构建和分发管道被破坏了。 [...]
来源:Security Affairs _恶意软件ShapedPlugin 供应链攻击后门专业插件更新
攻击者在 ShapedPlugin Pro 更新中添加后门,部署恶意软件窃取凭据、2FA 机密并授予完全站点访问权限。
If you installed a ShapedPlugin Pro plugin between April and June 2026 and kept it updated, your site may be compromised.不是因为你做错了什么,而是因为供应商自己的构建和分发管道被破坏了。网络安全公司 Wordfence 直接从 ShapedPlugin 的官方更新端点获取了 Real Testimonials Pro 3.2.5 的后门副本后,于 6 月 12 日确认了此次攻击。
ShapedPlugin is a WordPress software company that develops premium and free plugins for WordPress and WooCommerce websites.它成立于 2015 年,提供轮播、画廊、推荐、天气小部件、手风琴、产品展示、团队展示和其他网站功能的插件。 Its products are used by hundreds of thousands of websites worldwide.
The WordPress plugin vendor has over 400,000 active free plugin installations
“在我们的调查过程中,我们发现攻击者破坏了供应商的构建和分发管道,将后门代码注入到通过官方许可更新渠道分发的 Pro 插件版本中。”阅读 Wordfence 发布的报告。 “与所有供应链妥协一样,这种攻击特别阴险,因为受影响的网站所有者遵循安全最佳实践:他们购买合法许可证并直接从供应商的官方更新系统安装更新。供应链妥协在所有软件中变得越来越普遍,包括 WordPress 软件。”
研究人员确认,至少三个 Pro 插件受到损害:Product Slider Pro for WooCommerce、Real Testimonials Pro 和 Smart Post Show Pro。 Free plugins on WordPress.org were left clean, which was almost certainly deliberate.
The malware steals credentials in a more sophisticated way than typical threats.