Un attaquant a compromis l'infrastructure de mise à jour de Nextend pour distribuer une version piégée de Smart Slider 3 Pro, affectant potentiellement des milliers de sites WordPress.
TL;DR — En résumé
Un attaquant a infiltré les serveurs Nextend pour distribuer Smart Slider 3 Pro piégé. 800 000 sites exposés, toolkit multi-couche déployé.
En bref
- Un attaquant a compromis l'infrastructure de mise à jour de Nextend pour distribuer une version piégée de Smart Slider 3 Pro (v3.5.1.35).
- Plus de 800 000 sites WordPress et Joomla utilisent ce plugin ; tous ceux ayant mis à jour le 7 avril 2026 dans une fenêtre de 6 heures sont potentiellement compromis.
- Le payload déploie un toolkit d'accès distant multi-couche avec création de comptes admin frauduleux et exfiltration d'identifiants.
Ce qui s'est passé
Le 7 avril 2026, un acteur malveillant a infiltré les serveurs de mise à jour de Nextend, éditeur du populaire plugin WordPress Smart Slider 3 Pro. Pendant environ six heures, la version 3.5.1.35 distribuée via le canal officiel contenait un toolkit d'accès distant complet, selon les analyses publiées par BleepingComputer et The Hacker News. La version gratuite du plugin, hébergée sur le dépôt officiel WordPress, n'est pas affectée.
Ce qui distingue cette attaque des simples webshells habituels, c'est la sophistication du payload : plusieurs points de persistance indépendants et redondants, un mécanisme de dissimulation des utilisateurs malveillants, une chaîne d'exécution de commandes avec fallback, et un enregistrement automatique auprès d'un serveur C2 avec exfiltration complète des identifiants. Le plugin piégé peut également créer des comptes administrateurs frauduleux et déposer des backdoors exécutant des commandes système à distance.
Nextend a immédiatement coupé ses serveurs de mise à jour, retiré la version malveillante et lancé une investigation complète. Les administrateurs de sites ayant installé la version 3.5.1.35 sont invités à considérer leur site comme compromis et à procéder à un audit complet. Cette attaque rappelle des incidents similaires comme l'analyse des attaques supply chain de SolarWinds à XZ Utils ou la récente compromission de LiteLLM via PyPI.
Pourquoi c'est important
Les attaques supply chain ciblant les systèmes de mise à jour représentent l'une des menaces les plus insidieuses en cybersécurité. Contrairement à une vulnérabilité classique, le vecteur d'attaque est ici la confiance que les administrateurs placent dans le canal de distribution officiel. Avec 800 000 installations actives, Smart Slider 3 est un plugin largement déployé, y compris sur des sites d'entreprise et de e-commerce. La fenêtre d'exposition de 6 heures peut sembler courte, mais les mises à jour automatiques signifient que de nombreux sites ont pu être compromis sans intervention humaine.
Ce type d'incident illustre un problème structurel de l'écosystème WordPress : la chaîne de confiance repose entièrement sur la sécurité de l'infrastructure de chaque éditeur de plugin, comme le montrait déjà la faille critique RCE dans Ninja Forms. Les attaques via npm sur les plugins Strapi et les campagnes nord-coréennes sur npm et PyPI montrent que ce vecteur est de plus en plus systématiquement exploité.
Ce qu'il faut retenir
- Vérifiez immédiatement si votre site utilise Smart Slider 3 Pro v3.5.1.35 et considérez-le comme compromis le cas échéant.
- Auditez les comptes administrateurs de vos sites WordPress, recherchez des utilisateurs inconnus et changez tous les mots de passe.
- Mettez en place une surveillance des intégrités de fichiers et limitez les mises à jour automatiques de plugins critiques.
Comment savoir si mon site WordPress est affecté par cette attaque ?
Vérifiez la version installée de Smart Slider 3 Pro dans votre tableau de bord WordPress. Si vous avez la version 3.5.1.35 et que la mise à jour a été effectuée le 7 avril 2026, votre site est potentiellement compromis. Recherchez des comptes administrateurs que vous n'avez pas créés, des fichiers PHP suspects dans vos répertoires de plugins, et vérifiez les logs d'accès pour des connexions inhabituelles. Un scan complet avec un outil comme Wordfence est recommandé.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Indra Group : ransomware TheGentlemen cible un contractant stratégique de l'OTAN
TheGentlemen, groupe ransomware affilié au programme Qilin, a revendiqué une attaque contre Indra Group, contractant espagnol membre de la coalition cyber OTAN. La filiale touchée a été isolée mais le groupe menace de publier les données volées. L'incident illustre la stratégie de ciblage des filiales pour compromettre les groupes industriels de défense.
CVE-2026-45659 : SharePoint Server RCE exploité activement, Storm-2603 déploie des webshells
CVE-2026-45659, une désérialisation RCE CVSS 8.8 sur Microsoft SharePoint Server, a été ajoutée au KEV CISA après exploitation confirmée par Storm-2603. Un compte avec des droits de membre de site suffit pour déclencher l'attaque. Appliquer le patch de mai 2026 en urgence.
Patch Tuesday juillet 2026 : 127 CVE, RCE wormable CVSS 9.8 et enforcement Kerberos RC4
Le Patch Tuesday du 14 juillet 2026 corrige 127 vulnérabilités dont 38 critiques. CVE-2025-47981, un RCE wormable CVSS 9.8 sur NEGOEX, est le correctif le plus urgent ; l'enforcement Kerberos RC4 entre en vigueur aujourd'hui et peut provoquer des pannes d'authentification sur les environnements non préparés.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire