Aanvallers zijn erin geslaagd om betaalde WordPress-plug-ins van leverancier ShapedPlugin te voorzien van een backdoor. Het gaat om Product Slider Pro for WooCommerce, Real Testimonials Pro en Smart Post Show Pro, zo meldt cybersecuritybedrijf Wordfence in een analyse. Bij de aanval werd de ontwikkel- en distributieomgeving van de softwareleverancier gecompromitteerd. Aanvallers konden zo een backdoor aan de plug-ins toevoegen.

ShapedPlugin biedt zowel gratis als betaalde plug-ins. De betaalde versies ontvangen updates van de upateserver van de leverancier. De toevoegde malware biedt aanvallers niet alleen toegang tot gecompromitteerde sites, maar steelt daarnaast gebruikersnamen en wachtwoorden, session cookies en TOTP seeds van verschillende tweefactorauthenticatie 2FA plug-ins. Met gestolen wachtwoorden en TOTP seeds kunnen aanvallers de 2FA omzeilen.

De gratis versies van de plug-ins die ShapedPlugin biedt werden niet voorzien van een backdoor, maar de aanvallers hadden hiertoe wel de mogelijkheid, aldus Wordfence. ShapedPlugin stelt in een reactie dat het aan nieuwe opgeschoonde versies werkt en eerst uitgebreid onderzoek zal doen om ervoor te zorgen dat de code volledig veilig is voordat die wordt uitgerold. Hoe de aanvallers toegang tot de omgeving van de softwareontwikkelaar konden krijgen is niet bekend.

Wordfence stelt dat supplychain-aanvallen steeds vaker voorkomen in alle software, waaronder WordPress-software. Daarnaast noemt het cybersecuritybedrijf het zorgwekkend dat op WordPress gerichte malware niet alleen meer wachtwoorden steelt, maar aanvallers het ook hebben voorzien op 2FA-secrets.