Un attaquant a compromis l'infrastructure de mise à jour de Nextend pour distribuer une version piégée de Smart Slider 3 Pro, affectant potentiellement des milliers de sites WordPress.
En bref
- Un attaquant a compromis l'infrastructure de mise à jour de Nextend pour distribuer une version piégée de Smart Slider 3 Pro (v3.5.1.35).
- Plus de 800 000 sites WordPress et Joomla utilisent ce plugin ; tous ceux ayant mis à jour le 7 avril 2026 dans une fenêtre de 6 heures sont potentiellement compromis.
- Le payload déploie un toolkit d'accès distant multi-couche avec création de comptes admin frauduleux et exfiltration d'identifiants.
Ce qui s'est passé
Le 7 avril 2026, un acteur malveillant a infiltré les serveurs de mise à jour de Nextend, éditeur du populaire plugin WordPress Smart Slider 3 Pro. Pendant environ six heures, la version 3.5.1.35 distribuée via le canal officiel contenait un toolkit d'accès distant complet, selon les analyses publiées par BleepingComputer et The Hacker News. La version gratuite du plugin, hébergée sur le dépôt officiel WordPress, n'est pas affectée.
Ce qui distingue cette attaque des simples webshells habituels, c'est la sophistication du payload : plusieurs points de persistance indépendants et redondants, un mécanisme de dissimulation des utilisateurs malveillants, une chaîne d'exécution de commandes avec fallback, et un enregistrement automatique auprès d'un serveur C2 avec exfiltration complète des identifiants. Le plugin piégé peut également créer des comptes administrateurs frauduleux et déposer des backdoors exécutant des commandes système à distance.
Nextend a immédiatement coupé ses serveurs de mise à jour, retiré la version malveillante et lancé une investigation complète. Les administrateurs de sites ayant installé la version 3.5.1.35 sont invités à considérer leur site comme compromis et à procéder à un audit complet. Cette attaque rappelle des incidents similaires comme l'analyse des attaques supply chain de SolarWinds à XZ Utils ou la récente compromission de LiteLLM via PyPI.
Pourquoi c'est important
Les attaques supply chain ciblant les systèmes de mise à jour représentent l'une des menaces les plus insidieuses en cybersécurité. Contrairement à une vulnérabilité classique, le vecteur d'attaque est ici la confiance que les administrateurs placent dans le canal de distribution officiel. Avec 800 000 installations actives, Smart Slider 3 est un plugin largement déployé, y compris sur des sites d'entreprise et de e-commerce. La fenêtre d'exposition de 6 heures peut sembler courte, mais les mises à jour automatiques signifient que de nombreux sites ont pu être compromis sans intervention humaine.
Ce type d'incident illustre un problème structurel de l'écosystème WordPress : la chaîne de confiance repose entièrement sur la sécurité de l'infrastructure de chaque éditeur de plugin, comme le montrait déjà la faille critique RCE dans Ninja Forms. Les attaques via npm sur les plugins Strapi et les campagnes nord-coréennes sur npm et PyPI montrent que ce vecteur est de plus en plus systématiquement exploité.
Ce qu'il faut retenir
- Vérifiez immédiatement si votre site utilise Smart Slider 3 Pro v3.5.1.35 et considérez-le comme compromis le cas échéant.
- Auditez les comptes administrateurs de vos sites WordPress, recherchez des utilisateurs inconnus et changez tous les mots de passe.
- Mettez en place une surveillance des intégrités de fichiers et limitez les mises à jour automatiques de plugins critiques.
Comment savoir si mon site WordPress est affecté par cette attaque ?
Vérifiez la version installée de Smart Slider 3 Pro dans votre tableau de bord WordPress. Si vous avez la version 3.5.1.35 et que la mise à jour a été effectuée le 7 avril 2026, votre site est potentiellement compromis. Recherchez des comptes administrateurs que vous n'avez pas créés, des fichiers PHP suspects dans vos répertoires de plugins, et vérifiez les logs d'accès pour des connexions inhabituelles. Un scan complet avec un outil comme Wordfence est recommandé.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire