ShapedPlugin供应链投毒及CVE-2026-10735恶意插件分析

PSA: Supply Chain Compromise Targets ShapedPlugin, Backdoored Pro Plugins Distributed via Official Channels 漏洞概述 Wordfence威胁情报团队于2026年6月11日收到通知，称ShapedPlugin（一个拥有超过40万活跃免费插件安装的WordPress插件供应商）存在潜在的供应链漏洞。在调查过程中，我们发现攻击者通过官方授权更新渠道，向ShapedPlugin的构建和分发管道中注入了恶意代码。 影响范围 受影响软件： - Product Slider Pro for WooCommerce - Real Testimonials Pro - Smart Post Show Pro 漏洞编号：CVE-2026-10735 CVSS评分：9.8（Critical） 补丁状态：已修复 修复方案 ShapedPlugin团队已确认收到通知，并立即启动了调查。 团队已实施必要的缓解措施，并正在积极分析报告中的指标，审查分发和发布流程，确保产品和基础设施的完整性。 作为响应的一部分，团队正在准备更新的插件版本，并进行全面的安全检查和验证测试，以确保所有受影响的产品在部署前得到充分解决。 预计在完成所有检查后，将发布新的验证版本。 恶意软件分析 阶段1：加载器 包含恶意文件 和修改后的 。 加载器在每次管理员页面加载时执行，从C2服务器下载有效载荷，并将其作为WordPress插件升级器类安装和激活。 报告受害者域名到C2，并清理痕迹。 阶段2：有效载荷 有效载荷安装在 。 包含多个攻击工具： - ：主插件文件，隐藏插件从管理员列表。 - ：持久性层，REST API后门，数据外泄。 - ：Tiny File Manager 2.6。 - ：Adminer 5.2.1。 - ：URL参数webshell。 - ：凭证和2FA密钥窃取。 - ：后门登录绕过。 凭证窃取和2FA密钥外泄 文件 挂钩到WordPress认证以捕获明文凭证。 收集用户名和密码、用户IP地址和用户代理、会话cookie、用户角色和能力。 特别关注TOTP种子从多个2FA插件中窃取。 多种后门访问方法 REST API后门： 文件注册自定义REST端点，接受任意文件写入。 URL参数Webshell：诊断接受通过URL参数执行的命令。 捆绑工具：直接访问Tiny File Manager 2.6和Adminer 5.2.1。 登录绕过：硬编码的MD5哈希允许任何有效用户名的认证绕过。 数据外泄 直接访问时， 显示包含以下信息的HTML页面： - 的完整内容（数据库凭证、密钥、调试设置）。 - 所有管理员账户（注册日期）。 - 来自WP Mail SMTP、Post SMTP、Easy WP SMTP等的邮件插件凭证。 - 过去3个月的WooCommerce订单数据，按支付方式细分。 反取证 使用时间戳欺骗、自删除、插件隐藏和函数混淆等技术来逃避检测和复杂化事件响应。 管道漏洞证据 手术文件修改：分析文件时间戳显示精确的注入模式。 Git构建工件：Pro插件ZIP包含带有git SHA引用的composer元数据。 SVN提交者模式变化：WordPress.org SVN日志显示2026年4月的显著变化。 选择性注入：攻击者能够部署更新到WordPress.org（免费插件）和EDD系统（Pro插件），但选择只向某些Pro构建中注入恶意代码。

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

ShapedPlugin供应链投毒及CVE-2026-10735恶意插件分析

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

ShapedPlugin供应链投毒及CVE-2026-10735恶意插件分析

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！