Le plugin WordPress Smart Slider 3 Pro a été victime d'une attaque supply chain le 7 avril 2026. La version compromise embarquait un toolkit d'accès distant avec exfiltration de credentials admin en clair.
En bref
- Le plugin WordPress Smart Slider 3 Pro a été compromis via les serveurs de mise à jour de Nextend le 7 avril 2026
- La version 3.5.1.35 embarquait un toolkit d'accès distant complet avec exfiltration de credentials
- Action requise : restaurer un backup antérieur au 5 avril et changer tous les mots de passe administrateur
Les faits
Le 7 avril 2026, des attaquants ont compromis l'infrastructure de mise à jour de Nextend, l'éditeur du plugin WordPress Smart Slider 3 Pro, installé sur plus de 800 000 sites. Pendant environ six heures, la version 3.5.1.35 distribuée via le canal officiel de mise à jour contenait un kit d'accès distant entièrement fonctionnel. L'attaque a été détectée et le canal de distribution nettoyé dans la journée, mais les sites ayant mis à jour automatiquement pendant cette fenêtre sont potentiellement compromis. Selon BleepingComputer, le malware préservait le fonctionnement normal du plugin pour ne pas éveiller les soupçons.
Le toolkit injecté dans le fichier principal du plugin offrait plusieurs capacités aux attaquants : exécution de commandes à distance sans authentification via des en-têtes HTTP forgés, une seconde backdoor authentifiée avec eval PHP et exécution de commandes OS, et un module de vol automatisé de credentials. Les données exfiltrées vers le domaine C2 incluaient l'URL du site, la clé secrète de backdoor, les identifiants admin en clair, le nom de la base de données WordPress et la liste des méthodes de persistance installées. Seule la version Pro est affectée — la version gratuite du plugin n'a pas été compromise.
Impact et exposition
L'impact potentiel est massif : Smart Slider 3 compte plus de 800 000 installations actives entre ses éditions gratuite et Pro. Tout site ayant effectué la mise à jour vers la version 3.5.1.35 entre le 7 avril et la détection quelques heures plus tard a reçu le malware. Les attaquants disposaient d'un accès complet : credentials administrateur, exécution de code arbitraire et persistance multiple. Les sites e-commerce, les portails d'entreprise et les sites institutionnels utilisant ce plugin sont particulièrement à risque compte tenu des données qu'ils manipulent. L'exfiltration des identifiants en clair signifie que même après suppression du malware, les comptes compromis restent exploitables tant que les mots de passe n'ont pas été changés.
Recommandations
- Vérifier immédiatement si Smart Slider 3 Pro version 3.5.1.35 est installé — si oui, restaurer un backup daté du 5 avril 2026 au plus tard
- Changer tous les mots de passe administrateur WordPress et les credentials de base de données sur les sites potentiellement affectés
- Auditer les logs d'accès à la recherche de requêtes HTTP contenant des en-têtes inhabituels caractéristiques du C2
- Rechercher des connexions sortantes vers le domaine wpjs1.com dans les logs réseau
- Désactiver les mises à jour automatiques des plugins et valider manuellement chaque mise à jour critique
Alerte critique
Si votre site a installé Smart Slider 3 Pro 3.5.1.35, considérez-le comme entièrement compromis. Les identifiants admin ont été exfiltrés en clair. Un simple rollback du plugin ne suffit pas : il faut restaurer un backup complet, changer toutes les credentials et auditer l'ensemble du serveur.
Comment savoir si mon site WordPress a été touché par cette attaque supply chain ?
Vérifiez la version de Smart Slider 3 Pro installée dans le tableau de bord WordPress sous Extensions. Si la version 3.5.1.35 apparaît dans l'historique des mises à jour, ou si vos logs montrent une mise à jour du plugin le 7 avril 2026, votre site est potentiellement compromis. Recherchez également des connexions sortantes vers wpjs1.com dans vos logs réseau ou firewall. En cas de doute, traitez le site comme compromis et procédez à la restauration complète depuis un backup antérieur au 5 avril.
Quelles leçons tirer pour sécuriser les mises à jour de plugins WordPress ?
Cette attaque rappelle que le canal de mise à jour d'un plugin est un vecteur critique. Désactivez les mises à jour automatiques pour les plugins sensibles et testez chaque nouvelle version dans un environnement de staging avant déploiement en production. Utilisez un WAF capable de détecter les comportements anormaux post-mise à jour et mettez en place une surveillance des connexions sortantes. Les attaques supply chain sur l'écosystème WordPress se multiplient en 2026 — la vigilance sur la chaîne d'approvisionnement logicielle est devenue aussi importante que le patching lui-même. Pour approfondir ce sujet, consultez notre analyse sur la supply chain applicative et les attaques supply chain NPM.
Cette compromission s'inscrit dans une tendance inquiétante d'attaques ciblant les chaînes d'approvisionnement logicielles. Des incidents similaires ont touché l'écosystème Hugging Face et la bibliothèque Axios ces dernières semaines, confirmant que les attaquants privilégient désormais la compromission des canaux de distribution pour maximiser leur impact.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Ancien développeur Microsoft (Redmond, US) sur le code source de GINA (module d'authentification Windows) et auteur de la version française du Windows NT4 Security Guide pour la NSA, il dirige aujourd'hui Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
LexisNexis piraté : 400 000 profils exposés dont des agents fédéraux
LexisNexis confirme une intrusion via React2Shell sur AWS. 400 000 profils cloud exposés dont 118 comptes .gov fédéraux. Données de juges, avocats DOJ et personnel SEC compromises.
Drift : 285 millions de dollars volés par des hackers nord-coréens
La plateforme DeFi Drift a perdu 285 millions de dollars en 10 secondes suite à une attaque attribuée à la Corée du Nord. L'opération reposait sur 6 mois d'ingénierie sociale en personne.
Microsoft Copilot réservé au divertissement selon ses propres CGU
Les CGU de Microsoft Copilot le qualifient d'outil de divertissement. Microsoft promet de corriger ce « langage hérité » de l'ère Bing.
Commentaires (1)
Laisser un commentaire