攻击者入侵Nextend更新服务器。Smart Slider 3是WordPress热门滑块插件。免费版加Pro版,总活跃安装超80万个。根据Patchstack披露,这次供应链攻击针对Pro版WordPress插件。恶意更新于2026年4月7日推送。用户自动升级就中招。Nextend官方公告显示,黑客完全掌控构建流程。输出一个武器化远程访问工具包。站点升级后,后门立即激活。数据外泄包括站点URL、管理员邮箱、数据库名、明文密码。全发往C2域名wpjs1[.]com。
后门功能层层设计,藏得深。根据Patchstack分析,它先用自定义HTTP头实现无认证远程代码执行。X-Cache-Key头里塞代码,直奔shell_exec函数。双模式运行:PHP代码加系统命令。还建隐藏管理员账号,像wpsvc_a3f1。篡改pre_user_query和views_users过滤器,正规管理员看不见。存三条WordPress选项:_wpc_ak密钥、_wpc_uid用户ID、_wpc_uinfo Base64用户详情。全设autoload为false,躲过选项转储。三处持久化备份:伪装缓存的must-use插件object-cache-helper.php、主题functions.php尾巴、wp-includes里的class-wp-locale-helper.php。Nextend服务器关闭更新通道。推3.5.1.36干净版。用户得手动清隐患:删可疑管理员、拔恶意文件、删wp_options表五项键值、重置密码、改FTP凭证、查日志、开2FA、禁uploads文件夹PHP执行。Patchstack直言,这是教科书级供应链攻击。信任更新渠道等于开门揖盗。防火墙、nonce验证全失效。插件就是马甲。
事件敲醒WordPress站长。超80万安装基数,Pro用户多是中大型站点。黑客挑更新时机,6小时窗口够渗透一批。免费版幸免,Pro授权机制成软肋。Nextend正彻查入侵路径。类似Log4Shell后,供应链痛点又现。开发者服务器若不铁桶,终端用户总被动挨打。WordPress生态庞大,插件依赖深。站长升级别盲信官方。手动验哈希值成常态。黑客尝到甜头,下波瞄准更大目标。清理不彻底,后门反弹快。事件曝光后,Patchstack监测到清理痕迹。部分站点已现异常POST请求。开发者得补铁闸门。用户醒醒,别只追功能,安全先上。