Threat Intelligence 5 min de lecture

Smart Slider 3 : attaque supply chain sur 800 000 sites WordPress via l'infrastructure Nextend

En bref

  • Smart Slider 3 (800 000 installations WordPress actives) compromis via son infrastructure de mise à jour
  • Un RAT distribué pendant environ 6 heures via le canal officiel de mise à jour le 7 avril 2026
  • L'attaquant a compromis l'infrastructure de Nextend (éditeur du plugin), pas le plugin lui-même
  • Tout site ayant effectué une mise à jour automatique pendant cette fenêtre est potentiellement compromis

Smart Slider 3 : quand le canal de mise à jour devient le vecteur d’attaque

Le 7 avril 2026, une attaque de type supply chain a visé Smart Slider 3, l’un des plugins WordPress les plus populaires avec plus de 800 000 installations actives. Pendant une fenêtre d’environ 6 heures, les attaquants ont distribué un remote access toolkit (RAT) via le canal officiel de mise à jour de Nextend, l’éditeur du plugin. Tout administrateur WordPress ayant configuré les mises à jour automatiques pendant cette période a potentiellement installé le malware à son insu.

Ce qui s’est passé

Les attaquants n’ont pas compromis le code source de Smart Slider 3 lui-même. Ils ont pris pour cible l’infrastructure de distribution de mises à jour de Nextend : les serveurs qui hébergent et signent les packages de mise à jour du plugin. En compromettant ce maillon, ils ont pu pousser un package malveillant via le canal légitime, contournant ainsi les mécanismes de vérification de WordPress.

La fenêtre d’exposition s’est ouverte tôt le matin (UTC) et a duré approximativement 6 heures avant que Nextend ne détecte l’anomalie et ne révoque le package malveillant. Un correctif propre a été déployé dans les heures suivantes.

Anatomie du RAT distribué

Le remote access toolkit embarqué dans le package malveillant présentait plusieurs capacités caractéristiques des outils d’accès à distance avancés :

Persistance : création de tâches planifiées et modifications des fichiers de démarrage du serveur web pour survivre aux redémarrages.

Communication C2 : établissement d’un canal de communication chiffré vers des serveurs de commande et contrôle, permettant aux attaquants d’exécuter des commandes arbitraires sur le serveur compromis.

Exfiltration : capacité à accéder aux fichiers de configuration WordPress (notamment wp-config.php) contenant les identifiants de base de données, ainsi qu’aux cookies de session actifs.

Mouvement latéral : sur les hébergements mutualisés, tentative d’accès aux répertoires voisins pour propager la compromission à d’autres sites hébergés sur le même serveur.

Comment vérifier si votre site est compromis

Si votre site utilise Smart Slider 3 et effectue des mises à jour automatiques, voici les vérifications à réaliser en priorité.

Vérification de l’intégrité des fichiers du plugin

Comparez les hashes des fichiers présents sur votre serveur avec ceux du package propre disponible sur le dépôt officiel WordPress.org :

# Dans le répertoire wp-content/plugins/smart-slider-3/
find . -name "*.php" -exec md5sum {} \; > fichiers_actuels.txt

Téléchargez ensuite la version propre depuis wordpress.org et comparez les deux listes. Tout fichier absent de la version officielle est suspect.

Fichiers suspects à rechercher

Les analyses initiales ont identifié des fichiers PHP aux noms génériques déposés dans le répertoire du plugin :

  • wp-content/plugins/smart-slider-3/library/cache/loader.php
  • wp-content/plugins/smart-slider-3/Nextend/SmartSlider3/assets/update.php
  • Tout fichier .php récemment modifié dans le répertoire du plugin

Analyse des journaux d’accès

Recherchez des requêtes inhabituelles vers des fichiers PHP du plugin, notamment des appels POST vers des fichiers qui ne devraient recevoir que des requêtes GET, ou des requêtes vers des chemins inconnus.

Vérification des connexions sortantes

Sur le serveur, analysez les connexions réseau établies ou les tentatives de connexion vers des IP ou domaines inconnus. Un RAT actif établit généralement des connexions régulières vers son C2.

Plan de remédiation

Si vous avez effectué une mise à jour automatique entre 06:00 et 12:00 UTC le 7 avril 2026 :

  1. Isolez immédiatement le site : mettez-le en mode maintenance pour éviter que des visiteurs ne soient exposés à un éventuel contenu malveillant injecté.

  2. Supprimez et réinstallez le plugin depuis une source propre (wordpress.org). Ne vous contentez pas de mettre à jour : supprimez complètement le répertoire wp-content/plugins/smart-slider-3/ avant de réinstaller.

  3. Scannez les webshells : utilisez des outils comme Wordfence, Sucuri ou la commande find wp-content -name "*.php" -newer wp-config.php pour identifier les fichiers PHP déposés récemment.

  4. Rotez tous les identifiants : mots de passe administrateur WordPress, identifiants de base de données (dans wp-config.php), clés SFTP/SSH, et tout autre secret hébergé sur le serveur. Un gestionnaire de mots de passe robuste comme NordPass facilite la rotation rapide de l’ensemble de vos identifiants.

  5. Restaurez depuis une sauvegarde pré-incident si possible, datant d’avant le 7 avril.

  6. Signalez l’incident à votre hébergeur, en particulier si vous êtes sur un hébergement mutualisé.

Leçon principale : les mises à jour automatiques sont un risque supply chain

Cette attaque illustre une tension fondamentale en sécurité WordPress. Les mises à jour automatiques sont recommandées pour appliquer rapidement les correctifs de sécurité, mais elles créent une surface d’attaque supply chain : si l’infrastructure de l’éditeur est compromise, la mise à jour automatique devient le vecteur de la compromission.

Pour les environnements critiques, une approche de mise à jour semi-automatique avec validation préalable (staging, vérification des hashes) offre un meilleur équilibre entre réactivité et contrôle. NordVPN permet également de sécuriser les connexions d’administration à distance vers vos sites WordPress, réduisant le risque d’interception des identifiants en transit.

Lectures recommandées

Ces liens sont des liens affiliés. Si vous effectuez un achat via ces liens, nous pouvons recevoir une commission, sans coût supplémentaire pour vous.

  • Pro Cybersécurité : guide complet sur la sécurité des systèmes web et la défense contre les attaques supply chain.
  • Analyser les risques : méthodes d’analyse de risques appliquées aux environnements de production web.
  • NordPass : gestionnaire de mots de passe pour sécuriser et pivoter rapidement vos identifiants en cas de compromission.

Sources

#WordPress #supply-chain #Smart-Slider #Nextend #plugin #RAT
Partager :

Publicité

Articles liés

Dropbox Sign breach : 68 millions de comptes exposés via une clé API compromise

Scattered Spider revient : ingénierie sociale ciblée contre les helpdesks IT en Europe

Fortinet FortiGate : porte dérobée par lien symbolique, persistance après patching