Атака на цепочку поставок ShapedPlugin: бэкдор в премиум-плагинах для WordPress

Специалисты Wordfence в анализе установили, что злоумышленники получили доступ к конвейеру сборки и распространения (CI/CD). Вредоносный код был внедрён только в коммерческие версии, распространяемые через инфраструктуру Easy Digital Downloads (EDD). Бесплатные плагины на WordPress.org не пострадали. Заражённые пакеты содержали файл "src/Includes/LicenseLoader.php", который загружался на каждой странице административной панели. Этот загрузчик соединялся с сервером управления (C2) по адресу 194.76.217[.]28:2871, скачивал вредоносную нагрузку, устанавливал её как фейковый плагин и удалял собственные следы. Подобное самоудаление серьёзно затрудняет расследование инцидента для владельцев сайтов, обнаруживших заражение с задержкой.

Вредоносная нагрузка устанавливалась в директорию "wp-content/plugins/woocommerce-subscription/". Важно отметить, что в названии использовано единственное число "subscription", тогда как легитимный плагин WooCommerce Subscriptions пишется во множественном числе. Фейковый плагин скрывал себя из списка установленных расширений в административной панели WordPress и включал несколько модулей: Tiny File Manager 2.6 для управления файлами, Adminer 5.2.1 для работы с базами данных, а также инструменты для кражи учётных данных и обхода двухфакторной аутентификации (2FA).

Особую опасность представляет модуль кражи секретов двухфакторной аутентификации. Злоумышленники целенаправленно извлекали TOTP-ключи (одноразовые пароли по времени, генерируемые на основе времени) из метаданных пользователей для популярных 2FA-плагинов: WP 2FA, Wordfence Login Security, Really Simple SSL 2FA и Two-Factor. Собранные пароли и 2FA-секреты отправлялись на домен generate.2faplugin.org, выбранный для маскировки под легитимный трафик двухфакторной аутентификации. Имея пароль и TOTP-сид, атакующий может обойти многофакторную защиту даже после смены пароля владельцем сайта.

Помимо кражи 2FA, в нагрузке были обнаружены и другие каналы постоянного доступа. Вредоносный файл "install-persistent.php" регистрировал произвольную REST-точку "/wp-json/wc/v3/settings/apply", позволяющую записывать любые файлы при предоставлении корректного токена аутентификации. Дополнительно использовалась веб-оболочка с передачей команд через URL-параметры, а также хеш MD5 для обхода аутентификации - злоумышленник мог войти под любым администратором без знания пароля.

Анализ файловых меток времени внутри заражённого ZIP-архива показал характерную картину: 366 файлов датированы 22 апреля 2025 года (легитимная сборка), 100 файлов - 25 февраля 2026 года (обновление), и только 4 файла были изменены 21 мая 2026 года в двухчасовом окне. Это указывает на автоматическое внедрение бэкдора на этапе сборки, а не на ручное вмешательство. Дополнительно в архиве присутствовала ссылка на коммит из частного репозитория GitHub. В апреле 2026 года учётная запись shapedplugin на WordPress.org выполнила пакетное развёртывание семи бесплатных плагинов с пометкой "Update from GitHub", что подтверждает использование автоматизированного конвейера.

Злоумышленники имели доступ как к развёртыванию бесплатных версий, так и к коммерческим каналам, но внедрили бэкдор только в некоторые Pro-сборки. Такая селективность может объясняться тем, что WordPress.org сканирует вредоносный код, либо нацеленностью на платящих клиентов как на более ценные цели.

Подтверждёнными жертвами стали пользователи плагинов Real Testimonials Pro (версия 3.2.5), Product Slider Pro (до версии 3.5.4, CVE-2026-49777) и Smart Post Pro (до версии 4.0.2, CVE-2026-10735). Инфраструктура управления атаки связана с AEZA GROUP LLC, зарегистрированной в России. Домен 2faplugin.org был обновлён 10 мая 2026 года, незадолго до внедрения бэкдора. Первые известные заражения датируются 18 мая 2026 года.

Для владельцев сайтов, установивших любой Pro-плагин ShapedPlugin в период с апреля по июнь 2026 года, рекомендуется немедленная проверка. Необходимо искать фейковые плагины в директориях "woocommerce-subscription" или "woocommerce-notification", а также проверять таблицу "wp_options" на наличие записей "theme_options_scripts" и "wc_nf_install_done". Все пароли администраторов, данные базы данных и API-ключи из "wp-config.php" следует сменить. Секреты двухфакторной аутентификации необходимо отозвать и сгенерировать заново. Желательно также проверить учётные записи администраторов и настройки почтовых плагинов.

Атака на ShapedPlugin демонстрирует эволюцию угроз для экосистемы WordPress. Вместо эксплуатации уязвимостей в коде плагинов злоумышленники атакуют инфраструктуру разработки и распространения, превращая легитимные обновления в инструмент заражения. Выборочное внедрение бэкдора в коммерческие версии и целенаправленная кража секретов 2FA показывают, что атакующие повышают уровень сложности и нацелены на максимально устойчивый доступ к скомпрометированным ресурсам.

IPv4 Port Combinations

• 194.76.217.28:2871

Domains

• generate.2faplugin.org

SHA256

• 0e17c869d3e4586d4c160041042bd15123c2a37117a98a995fae885f0f4417fc