TokyoBlackHatNews

bleepingcomputer.com 5分で読了

ShapedPluginの更新システムが不正アクセスを受け、WordPressサイトにマルウェアが配布される

ShapedPluginが提供する複数のWordPressプラグインがサプライチェーン攻撃の標的となり、同社の公式アップデートシステムを通じて有料ユーザーに感染版がリリースされていたことがわかりました。

配布されたマルウェアは、WooCommerceのコンポーネントに偽装した不正プラグインをインストールし、認証情報を窃取するとともに、攻撃者によるリモートでのファイル書き込みを可能にするものでした。

ShapedPluginは、フロントエンド・UIコンポーネントやコンテンツ表示系プラグインを専門とするWordPressプラグインベンダーで、無償提供製品のアクティブインストール数は合計40万件を超えています。

今回のセキュリティインシデントの影響を受けたのは、有料プラグインのうち次の3製品です。WooCommerce向けの「Product Slider Pro」(バージョン3.5.4未満)、「Real Testimonials Pro 3.2.5」、そして「Smart Post Show Pro」(バージョン4.0.2未満)です。

WordPressセキュリティ企業DefiantがWordFenceファイアウォールから収集したデータによると、バックドアは5月21日にShapedPluginのProビルドへ注入され、悪意ある可能性のあるアップデートに関する最初のユーザー報告が上がったのは6月10日のことでした。

研究者らは6月12日にShapedPluginのサイトから感染版プラグインをダウンロードして侵害を確認し、同社は6月16日にインシデントを公式に認めました。

「懸念が確認された直後、当社チームは速やかに調査を開始し、問題を軽減するための必要な措置をすでに講じました」と、ShapedPluginはWordfenceに述べています

同社はさらに、更新されたプラグインのリリースを準備中であり、アップデートチャンネルへのプッシュ前に検証を行っていると説明しました。

サプライチェーンへの侵害

Wordfenceの分析によると、感染したプラグインには悪意のあるローダーファイル(LicenseLoader.php)が含まれており、WordPressの管理者が管理パネルにアクセスした際に起動します。

このローダーはC2(コマンド&コントロール)サーバーに接続して第2段階のバックドアをダウンロードし、偽プラグイン(woocommerce-subscriptionまたはwoocommerce-notification)としてインストールした後、攻撃者への報告を行い、証拠を消すために自己削除します。

WordPressのプラグイン一覧から隠されたこの偽プラグインは、感染したサイトから以下の情報の窃取を試みます。

  • WordPressのログイン認証情報(ユーザー名、パスワード、セッションクッキー、ユーザーロール、IPアドレス、ブラウザ情報)
  • 主要なWordPressセキュリティプラグインからの二要素認証(2FA)シークレット
  • wp-config.phpに記載されたデータベース認証情報およびWordPress認証キー
  • 管理者アカウントの詳細情報
  • SMTP・メールサービスの認証情報
  • 過去3か月分のWooCommerce注文データ(支払い方法情報を含む)

研究者らは、ファイルの改ざん内容、自動化された注入を示すタイムスタンプのパターン、パッケージに含まれるGitビルドの参照情報を根拠に、これがビルドパイプラインへの侵害であると判断しています。

また、WordPress.orgで公開されているリリースはクリーンであることが確認されており、攻撃者がShapedPluginのリリースインフラにアクセスしていたことが示唆されます。

WordPressは現在、このインシデントをCVE-2026-10735として追跡しており、CVE-2026-49777も重複として申請されています。

今回のShapedPlugin侵害は、別の主要なWordPress製品であるOptinMonsterがCDNサプライチェーン攻撃によって侵害された事件の直後に発生しました。OptinMonsterのケースは、マーケティングサーバーの脆弱性を悪用して攻撃者がCDNアカウントの認証情報を窃取したことが原因でした。

一方、ShapedPluginのケースでは、侵害の起点はビルドパイプラインにあったとみられています。

BleepingComputerはプラグインベンダーにコメントを求めたところ、同社はReal Testimonial Proバージョン3.2.6のリリースを案内しました。このリリースには「Fix: Some WPCS-related warnings」という1件の修正のみが記載されています。

ShapedPluginはまた、Wordfenceがパッチの適用確認を完了した後に公式声明を発表するとしています。

Wordfenceによると、Product Slider Proではバージョン3.5.4、Smart Post Show Proではバージョン4.0.2でそれぞれ修正が提供されています。

偽のWooCommerceプラグインが発見された場合、サイト管理者はサイト上のすべてのパスワードをリセットし、二要素認証(2FA)のシークレットを再生成した上で、不審なアカウントが追加されていないかユーザー一覧を確認することが推奨されます。

攻撃者より先に、すべての防御層をテストする

セキュリティチームが検知できる攻撃の成功は全体の54%にとどまり、アラートが上がるのはわずか14%です。残りの脅威は、環境内を検知されることなく移動し続けています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)を使ってSIEMおよびEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を解説しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/shapedplugin-update-flow-hacked-to-infect-wordpress-sites/

ソース: bleepingcomputer.com
#ShapedPlugin #WooCommerce #Wordfence #WordPress #WordPressプラグイン #サプライチェーン攻撃 #バックドア #ビルドパイプライン侵害 #マルウェア #認証情報窃取

関連記事

Evil Corp関連のSocGholish感染サイト、約1万5,000件を当局が一斉浄化

試験問題漏洩チャンネルの監視不能を認めるTelegram、インドが法廷で証言

AppleがBeats Studio Budsの盗聴を可能にする脆弱性を修正