Panda Security Blog 🔬
Wróć
3 min read

Popularna wtyczka Smart Slider 3 Pro zhakowana — backdoor w oficjalnej aktualizacji

Table of Contents

Atak przez oficjalny kanał aktualizacji

7 kwietnia 2026 roku nieznani sprawcy uzyskali dostęp do infrastruktury aktualizacyjnej firmy Nextend — twórcy popularnej wtyczki Smart Slider 3 Pro dla WordPressa i Joomli. Przez około sześć godzin oficjalny kanał dystrybucji serwował w pełni zainfekowaną wersję 3.5.1.35, zawierającą rozbudowany zestaw narzędzi zdalnego dostępu. Każda strona, która w tym oknie czasowym pobrała aktualizację, została skompromitowana. Smart Slider 3 to jedna z najpopularniejszych wtyczek do tworzenia sliderów — posiada ponad 800 000 aktywnych instalacji.

Co potrafił złośliwy kod

Trojanizowana aktualizacja dawała atakującym pełną kontrolę nad zainfekowaną stroną. Malware potrafił wykonywać dowolne polecenia systemowe na serwerze za pośrednictwem specjalnych nagłówków HTTP, bez konieczności logowania. Dodatkowo tworzył ukryte konto administratora o nazwie zaczynającej się od „wpsvc_”, niewidoczne w panelu WordPressa. Aby utrudnić usunięcie, instalował trzy redundantne warstwy persystencji: wtyczkę typu must-use, wstrzyknięcie do pliku functions.php aktywnego motywu oraz dodatkowy plik w katalogu wp-includes.

Wszystkie zebrane dane — w tym adres URL strony, dane logowania administratora w postaci jawnego tekstu, wersje WordPressa i PHP oraz nazwę bazy danych — malware wysyłał do serwera C2 pod domeną wpjs1.com.

Jak sprawdzić, czy Twoja strona jest zainfekowana

Jeśli korzystasz z wersji Pro wtyczki Smart Slider 3, koniecznie sprawdź, czy nie masz zainstalowanej wersji 3.5.1.35. Oto kluczowe wskaźniki kompromitacji:

  • Plik wp-content/mu-plugins/object-cache-helper.php — nie powinien istnieć, jeśli go nie tworzyłeś ręcznie.
  • Plik wp-includes/class-wp-locale-helper.php — to nie jest standardowy plik WordPressa.
  • W tabeli wp_options szukaj wpisów _wpc_ak, _wpc_uid lub _wpc_uinfo.
  • Sprawdź listę użytkowników pod kątem kont z adresem e-mail kiziltxt2@gmail.com lub nazwą „WordPress Service”.

Samo usunięcie wtyczki nie wystarczy — ze względu na wielowarstwową persystencję należy przeprowadzić pełne czyszczenie systemu. Nextend opublikował szczegółowy poradnik naprawczy, a bezpieczna wersja to 3.5.1.36.

Wnioski dla administratorów stron

Ten incydent boleśnie przypomina, że nawet aktualizacje z oficjalnych źródeł mogą być zagrożone. Atak na łańcuch dostaw (supply chain attack) omija tradycyjne zabezpieczenia — firewalle, weryfikację nonce czy kontrolę ról — ponieważ złośliwy kod przybywa zaufanym kanałem. Warto więc regularnie monitorować logi aktualizacji, utrzymywać kopie zapasowe sprzed każdej aktualizacji i reagować błyskawicznie na ostrzeżenia bezpieczeństwa w ekosystemie WordPress.

źródło: https://patchstack.com/articles/critical-supply-chain-compromise-in-smart-slider-3-pro-full-malware-analysis/

Hakerzy ukradli 4 TB danych z Mercor przez lukę w bibliotece PyPI
Aktywnie wykorzystywana luka w SharePoint — CVE-2026-32201 załatana w kwietniowym Patch Tuesday