Invasores conseguiram introduzir um backdoor em versões pagas de complementos WordPress desenvolvidos pelo fornecedor ShapedPlugin. A atividade hostil afetou os componentes Product Slider Pro para WooCommerce, Real Testimonials Pro e Smart Post Show Pro. Conforme a análise técnica divulgada pela empresa de cibersegurança Wordfence, a ação comprometeu os ambientes de desenvolvimento e distribuição do fabricante do software.
Mecanismo de infecção e roubo de segredos de autenticação
A ShapedPlugin distribui tanto ferramentas gratuitas quanto pagas, sendo que as edições comerciais recebem atualizações diretamente do servidor central da empresa. O código malicioso inserido não se limita a garantir acesso remoto aos sites afetados: a ameaça também realiza o roubo de nomes de usuário, senhas, cookies de sessão e sementes de chaves temporárias (TOTP) originadas de diversos complementos de autenticação de dois fatores (2FA). De posse dessas informações estruturais e dos segredos de TOTP, os criminosos conseguem burlar as proteções de duplo fator.
Embora o backdoor não tenha sido detectado nas versões gratuitas disponibilizadas nos repositórios, a equipe de análise ressaltou que os invasores possuíam os privilégios necessários para estender a contaminação a esses pacotes. Em resposta ao incidente, a ShapedPlugin declarou que trabalha no desenvolvimento de novas versões limpas do código e que conduz investigações internas para garantir a segurança dos sistemas antes de reiniciar a distribuição técnica. O vetor inicial utilizado pelos invasores para violar o ambiente do desenvolvedor permanece desconhecido.
Alerta sobre ameaças à cadeia de suprimentos
O incidente reforça a expansão contínua de ataques à cadeia de suprimentos (supply chain) em todo o ecossistema de software, incluindo plataformas baseadas em WordPress. Especialistas expressaram preocupação com a mudança de comportamento dos malwares desenhados para o gerenciador de conteúdo, os quais evoluíram da coleta convencional de credenciais para a extração sistemática de segredos e chaves criptográficas de mecanismos de proteção adicionais.
