Un attaquant a compromis l'infrastructure de mise à jour de Nextend pour distribuer une version piégée de Smart Slider 3 Pro, affectant potentiellement des milliers de sites WordPress.
En bref
- Un attaquant a compromis l'infrastructure de mise à jour de Nextend pour distribuer une version piégée de Smart Slider 3 Pro (v3.5.1.35).
- Plus de 800 000 sites WordPress et Joomla utilisent ce plugin ; tous ceux ayant mis à jour le 7 avril 2026 dans une fenêtre de 6 heures sont potentiellement compromis.
- Le payload déploie un toolkit d'accès distant multi-couche avec création de comptes admin frauduleux et exfiltration d'identifiants.
Ce qui s'est passé
Le 7 avril 2026, un acteur malveillant a infiltré les serveurs de mise à jour de Nextend, éditeur du populaire plugin WordPress Smart Slider 3 Pro. Pendant environ six heures, la version 3.5.1.35 distribuée via le canal officiel contenait un toolkit d'accès distant complet, selon les analyses publiées par BleepingComputer et The Hacker News. La version gratuite du plugin, hébergée sur le dépôt officiel WordPress, n'est pas affectée.
Ce qui distingue cette attaque des simples webshells habituels, c'est la sophistication du payload : plusieurs points de persistance indépendants et redondants, un mécanisme de dissimulation des utilisateurs malveillants, une chaîne d'exécution de commandes avec fallback, et un enregistrement automatique auprès d'un serveur C2 avec exfiltration complète des identifiants. Le plugin piégé peut également créer des comptes administrateurs frauduleux et déposer des backdoors exécutant des commandes système à distance.
Nextend a immédiatement coupé ses serveurs de mise à jour, retiré la version malveillante et lancé une investigation complète. Les administrateurs de sites ayant installé la version 3.5.1.35 sont invités à considérer leur site comme compromis et à procéder à un audit complet. Cette attaque rappelle des incidents similaires comme l'analyse des attaques supply chain de SolarWinds à XZ Utils ou la récente compromission de LiteLLM via PyPI.
Pourquoi c'est important
Les attaques supply chain ciblant les systèmes de mise à jour représentent l'une des menaces les plus insidieuses en cybersécurité. Contrairement à une vulnérabilité classique, le vecteur d'attaque est ici la confiance que les administrateurs placent dans le canal de distribution officiel. Avec 800 000 installations actives, Smart Slider 3 est un plugin largement déployé, y compris sur des sites d'entreprise et de e-commerce. La fenêtre d'exposition de 6 heures peut sembler courte, mais les mises à jour automatiques signifient que de nombreux sites ont pu être compromis sans intervention humaine.
Ce type d'incident illustre un problème structurel de l'écosystème WordPress : la chaîne de confiance repose entièrement sur la sécurité de l'infrastructure de chaque éditeur de plugin, comme le montrait déjà la faille critique RCE dans Ninja Forms. Les attaques via npm sur les plugins Strapi et les campagnes nord-coréennes sur npm et PyPI montrent que ce vecteur est de plus en plus systématiquement exploité.
Ce qu'il faut retenir
- Vérifiez immédiatement si votre site utilise Smart Slider 3 Pro v3.5.1.35 et considérez-le comme compromis le cas échéant.
- Auditez les comptes administrateurs de vos sites WordPress, recherchez des utilisateurs inconnus et changez tous les mots de passe.
- Mettez en place une surveillance des intégrités de fichiers et limitez les mises à jour automatiques de plugins critiques.
Comment savoir si mon site WordPress est affecté par cette attaque ?
Vérifiez la version installée de Smart Slider 3 Pro dans votre tableau de bord WordPress. Si vous avez la version 3.5.1.35 et que la mise à jour a été effectuée le 7 avril 2026, votre site est potentiellement compromis. Recherchez des comptes administrateurs que vous n'avez pas créés, des fichiers PHP suspects dans vos répertoires de plugins, et vérifiez les logs d'accès pour des connexions inhabituelles. Un scan complet avec un outil comme Wordfence est recommandé.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Shadow AI : la menace invisible qui échappe aux équipes sécurité
Le shadow AI explose en entreprise : 490 % d'incidents en plus, 80 % impliquant des données sensibles. Les agents IA autonomes créent de nouveaux risques majeurs.
Marimo : faille RCE critique exploitée 10 heures après sa publication
La CVE-2026-39987 dans Marimo, notebook Python open source, permet une RCE sans authentification. Exploitée en 10 heures, elle affecte toutes les versions jusqu'à 0.20.4.
Apache ActiveMQ : une faille RCE dormait depuis 13 ans
CVE-2026-34197 : une faille RCE dans Apache ActiveMQ Classic restée indétectée 13 ans. Exploitation sans authentification possible sur ActiveMQ 6.x.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire