Plugins do WordPress da ShapedPlugin comprometidos em ataque supply chain
Um ataque de supply chain comprometeu múltiplos plugins pagos da ShapedPlugin, um fornecedor de plugins para WordPress, que afeta mais de 400 mil instalações ativas. O malware, distribuído através do sistema oficial de atualizações da empresa, instala um plugin falso que se passa por componentes do WooCommerce, permitindo o roubo de credenciais e acesso remoto a arquivos. O incidente afetou três plugins: Product Slider Pro, Real Testimonials Pro e Smart Post Show Pro, com a injeção do backdoor ocorrendo em 21 de maio e os primeiros relatos de clientes surgindo em 10 de junho. A ShapedPlugin reconheceu a violação em 16 de junho e iniciou uma investigação, implementando medidas corretivas. O malware, uma vez ativado, se comunica com um servidor de comando e controle, baixa um segundo estágio e se autodeleta para apagar rastros. O WordPress está monitorando o incidente sob os CVEs CVE-2026-10735 e CVE-2026-49777. Administradores de sites afetados são aconselhados a redefinir senhas e revisar listas de usuários.
