Le plugin WordPress Smart Slider 3 Pro a été victime d'une attaque supply chain le 7 avril 2026. La version compromise embarquait un toolkit d'accès distant avec exfiltration de credentials admin en clair.
En bref
- Le plugin WordPress Smart Slider 3 Pro a été compromis via les serveurs de mise à jour de Nextend le 7 avril 2026
- La version 3.5.1.35 embarquait un toolkit d'accès distant complet avec exfiltration de credentials
- Action requise : restaurer un backup antérieur au 5 avril et changer tous les mots de passe administrateur
Les faits
Le 7 avril 2026, des attaquants ont compromis l'infrastructure de mise à jour de Nextend, l'éditeur du plugin WordPress Smart Slider 3 Pro, installé sur plus de 800 000 sites. Pendant environ six heures, la version 3.5.1.35 distribuée via le canal officiel de mise à jour contenait un kit d'accès distant entièrement fonctionnel. L'attaque a été détectée et le canal de distribution nettoyé dans la journée, mais les sites ayant mis à jour automatiquement pendant cette fenêtre sont potentiellement compromis. Selon BleepingComputer, le malware préservait le fonctionnement normal du plugin pour ne pas éveiller les soupçons.
Le toolkit injecté dans le fichier principal du plugin offrait plusieurs capacités aux attaquants : exécution de commandes à distance sans authentification via des en-têtes HTTP forgés, une seconde backdoor authentifiée avec eval PHP et exécution de commandes OS, et un module de vol automatisé de credentials. Les données exfiltrées vers le domaine C2 incluaient l'URL du site, la clé secrète de backdoor, les identifiants admin en clair, le nom de la base de données WordPress et la liste des méthodes de persistance installées. Seule la version Pro est affectée — la version gratuite du plugin n'a pas été compromise.
Impact et exposition
L'impact potentiel est massif : Smart Slider 3 compte plus de 800 000 installations actives entre ses éditions gratuite et Pro. Tout site ayant effectué la mise à jour vers la version 3.5.1.35 entre le 7 avril et la détection quelques heures plus tard a reçu le malware. Les attaquants disposaient d'un accès complet : credentials administrateur, exécution de code arbitraire et persistance multiple. Les sites e-commerce, les portails d'entreprise et les sites institutionnels utilisant ce plugin sont particulièrement à risque compte tenu des données qu'ils manipulent. L'exfiltration des identifiants en clair signifie que même après suppression du malware, les comptes compromis restent exploitables tant que les mots de passe n'ont pas été changés.
Recommandations
- Vérifier immédiatement si Smart Slider 3 Pro version 3.5.1.35 est installé — si oui, restaurer un backup daté du 5 avril 2026 au plus tard
- Changer tous les mots de passe administrateur WordPress et les credentials de base de données sur les sites potentiellement affectés
- Auditer les logs d'accès à la recherche de requêtes HTTP contenant des en-têtes inhabituels caractéristiques du C2
- Rechercher des connexions sortantes vers le domaine wpjs1.com dans les logs réseau
- Désactiver les mises à jour automatiques des plugins et valider manuellement chaque mise à jour critique
Alerte critique
Si votre site a installé Smart Slider 3 Pro 3.5.1.35, considérez-le comme entièrement compromis. Les identifiants admin ont été exfiltrés en clair. Un simple rollback du plugin ne suffit pas : il faut restaurer un backup complet, changer toutes les credentials et auditer l'ensemble du serveur.
Comment savoir si mon site WordPress a été touché par cette attaque supply chain ?
Vérifiez la version de Smart Slider 3 Pro installée dans le tableau de bord WordPress sous Extensions. Si la version 3.5.1.35 apparaît dans l'historique des mises à jour, ou si vos logs montrent une mise à jour du plugin le 7 avril 2026, votre site est potentiellement compromis. Recherchez également des connexions sortantes vers wpjs1.com dans vos logs réseau ou firewall. En cas de doute, traitez le site comme compromis et procédez à la restauration complète depuis un backup antérieur au 5 avril.
Quelles leçons tirer pour sécuriser les mises à jour de plugins WordPress ?
Cette attaque rappelle que le canal de mise à jour d'un plugin est un vecteur critique. Désactivez les mises à jour automatiques pour les plugins sensibles et testez chaque nouvelle version dans un environnement de staging avant déploiement en production. Utilisez un WAF capable de détecter les comportements anormaux post-mise à jour et mettez en place une surveillance des connexions sortantes. Les attaques supply chain sur l'écosystème WordPress se multiplient en 2026 — la vigilance sur la chaîne d'approvisionnement logicielle est devenue aussi importante que le patching lui-même. Pour approfondir ce sujet, consultez notre analyse sur la supply chain applicative et les attaques supply chain NPM.
Cette compromission s'inscrit dans une tendance inquiétante d'attaques ciblant les chaînes d'approvisionnement logicielles. Des incidents similaires ont touché l'écosystème Hugging Face et la bibliothèque Axios ces dernières semaines, confirmant que les attaquants privilégient désormais la compromission des canaux de distribution pour maximiser leur impact.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires (1)
Laisser un commentaire