En bref

  • Un attaquant a compromis l'infrastructure de mise à jour de Nextend pour distribuer une version piégée de Smart Slider 3 Pro (v3.5.1.35).
  • Plus de 800 000 sites WordPress et Joomla utilisent ce plugin ; tous ceux ayant mis à jour le 7 avril 2026 dans une fenêtre de 6 heures sont potentiellement compromis.
  • Le payload déploie un toolkit d'accès distant multi-couche avec création de comptes admin frauduleux et exfiltration d'identifiants.

Ce qui s'est passé

Le 7 avril 2026, un acteur malveillant a infiltré les serveurs de mise à jour de Nextend, éditeur du populaire plugin WordPress Smart Slider 3 Pro. Pendant environ six heures, la version 3.5.1.35 distribuée via le canal officiel contenait un toolkit d'accès distant complet, selon les analyses publiées par BleepingComputer et The Hacker News. La version gratuite du plugin, hébergée sur le dépôt officiel WordPress, n'est pas affectée.

Ce qui distingue cette attaque des simples webshells habituels, c'est la sophistication du payload : plusieurs points de persistance indépendants et redondants, un mécanisme de dissimulation des utilisateurs malveillants, une chaîne d'exécution de commandes avec fallback, et un enregistrement automatique auprès d'un serveur C2 avec exfiltration complète des identifiants. Le plugin piégé peut également créer des comptes administrateurs frauduleux et déposer des backdoors exécutant des commandes système à distance.

Nextend a immédiatement coupé ses serveurs de mise à jour, retiré la version malveillante et lancé une investigation complète. Les administrateurs de sites ayant installé la version 3.5.1.35 sont invités à considérer leur site comme compromis et à procéder à un audit complet. Cette attaque rappelle des incidents similaires comme l'analyse des attaques supply chain de SolarWinds à XZ Utils ou la récente compromission de LiteLLM via PyPI.

Pourquoi c'est important

Les attaques supply chain ciblant les systèmes de mise à jour représentent l'une des menaces les plus insidieuses en cybersécurité. Contrairement à une vulnérabilité classique, le vecteur d'attaque est ici la confiance que les administrateurs placent dans le canal de distribution officiel. Avec 800 000 installations actives, Smart Slider 3 est un plugin largement déployé, y compris sur des sites d'entreprise et de e-commerce. La fenêtre d'exposition de 6 heures peut sembler courte, mais les mises à jour automatiques signifient que de nombreux sites ont pu être compromis sans intervention humaine.

Ce type d'incident illustre un problème structurel de l'écosystème WordPress : la chaîne de confiance repose entièrement sur la sécurité de l'infrastructure de chaque éditeur de plugin, comme le montrait déjà la faille critique RCE dans Ninja Forms. Les attaques via npm sur les plugins Strapi et les campagnes nord-coréennes sur npm et PyPI montrent que ce vecteur est de plus en plus systématiquement exploité.

Ce qu'il faut retenir

  • Vérifiez immédiatement si votre site utilise Smart Slider 3 Pro v3.5.1.35 et considérez-le comme compromis le cas échéant.
  • Auditez les comptes administrateurs de vos sites WordPress, recherchez des utilisateurs inconnus et changez tous les mots de passe.
  • Mettez en place une surveillance des intégrités de fichiers et limitez les mises à jour automatiques de plugins critiques.

Comment savoir si mon site WordPress est affecté par cette attaque ?

Vérifiez la version installée de Smart Slider 3 Pro dans votre tableau de bord WordPress. Si vous avez la version 3.5.1.35 et que la mise à jour a été effectuée le 7 avril 2026, votre site est potentiellement compromis. Recherchez des comptes administrateurs que vous n'avez pas créés, des fichiers PHP suspects dans vos répertoires de plugins, et vérifiez les logs d'accès pour des connexions inhabituelles. Un scan complet avec un outil comme Wordfence est recommandé.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact

Pour approfondir