Des extensions payantes de l’éditeur ShapedPlugin ont été piratées dans le cadre d’une attaque de la chaîne d’approvisionnement. Des versions infectées ont été distribuées aux clients via le système officiel de mises à jour du fournisseur.
Ce logiciel malveillant installe une fausse extension qui imite des composants de WooCommerce. Elle vole les identifiants et donne aux pirates la possibilité d’écrire des fichiers à distance.
La société ShapedPlugin édite des extensions WordPress qui se concentrent sur l’interface utilisateur et l’affichage de contenu. Ses produits gratuits sont activement installés sur plus de 400 000 sites.
Seuls trois plugins payants ont été touchés : Product Slider Pro avant la version 3.5.4, Real Testimonials Pro 3.2.5, et Smart Post Show Pro avant la version 4.0.2.
Les données du pare-feu WordFence, collectées par la société de sécurité Defiant, indiquent que le backdoor a été injecté dans les versions Pro de ShapedPlugin le 21 mai. Les premiers signalements de clients concernant des mises à jour suspectes sont apparus le 10 juin.
Les chercheurs ont confirmé la compromission le 12 juin après avoir téléchargé les extensions infectées depuis le site de ShapedPlugin. L’éditeur a reconnu l’incident le 16 juin.
« Notre équipe a immédiatement lancé une enquête et nous avons déjà pris les mesures nécessaires pour atténuer le problème », a déclaré ShapedPlugin à Wordfence.
L’éditeur a ajouté qu’il préparait de nouvelles versions des extensions et qu’il les vérifiait avant de les diffuser via les canaux de mise à jour.
Le point de compromission de la chaîne
Selon l’analyse de Wordfence, les extensions infectées contiennent un fichier malveillant nommé LicenseLoader.php. Il s’active quand un administrateur WordPress accède au panneau de configuration du site.
Ce fichier contacte un serveur de commande et contrôle, télécharge une charge utile secondaire et l’installe sous la forme d’une fausse extension. Elle prend le nom de « woocommerce-subscription » ou « woocommerce-notification ». Après avoir signalé son succès au pirate, le chargeur initial s’auto-efface pour supprimer les traces.
La fausse extension est masquée de la liste officielle des plugins WordPress. Elle tente de dérober plusieurs types d’informations sur les sites infectés :
- Les identifiants de connexion WordPress (noms d’utilisateur, mots de passe, cookies de session, rôles, adresses IP et détails du navigateur).
- Les secrets d’authentification à deux facteurs provenant d’extensions de sécurité WordPress populaires.
- Les identifiants de la base de données et les clés d’authentification WordPress du fichier wp-config.php.
- Les détails des comptes administrateur.
- Les identifiants des services de messagerie SMTP.
- Les données de commande WooCommerce des trois derniers mois, y compris les informations sur les méthodes de paiement.
Les chercheurs pensent que le pipeline de construction des extensions a été compromis. Cette hypothèse repose sur les modifications de fichiers, des motifs d’horodatage qui évoquent une injection automatisée et des références Git trouvées dans les paquets.
De plus, les versions hébergées sur WordPress.org sont propres. Ceci suggère que les pirates ont obtenu l’accès à l’infrastructure de publication de ShapedPlugin.
WordPress suit actuellement cet incident sous la référence CVE-2026-10735. La référence CVE-2026-49777 a également été soumise en tant que doublon.
Cette compromission survient peu après une autre attaque majeure contre OptinMonster, une extension WordPress populaire. Dans ce cas, l’attaque a pu passer par une faille sur un serveur marketing qui a permis de voler les identifiants d’un compte CDN.
Pour ShapedPlugin, le point d’entrée semble bien être le processus de construction des extensions.
BleepingComputer a contacté l’éditeur pour un commentaire. La société a renvoyé vers la publication de Real Testimonial Pro version 3.2.6, qui ne liste qu’une seule correction : « Correction de certains avertissements liés aux normes de codage WordPress ».
ShapedPlugin a également indiqué qu’une déclaration officielle serait publiée après que Wordfence aura confirmé que les correctifs ont résolu le problème.
Wordfence précise que des correctifs ont été rendus disponibles pour Product Slider Pro en version 3.5.4 et pour Smart Post Show Pro en version 4.0.2.
Si de faux plugins WooCommerce sont découverts, il est recommandé aux administrateurs de sites de réinitialiser tous les mots de passe, de régénérer les secrets d’authentification à deux facteurs et de vérifier la liste des utilisateurs pour détecter d’éventuels ajouts frauduleux.