Saldırı ve Önemi
ShapedPlugin, WordPress eklentileriyle ilgili bir tedarik zinciri saldırısına maruz kaldı ve bu durum, kullanıcıların sistemlerini tehlikeye attı. Saldırı sonucunda, virüslü güncellemeler resmi güncelleme sistemleri aracılığıyla dağıtıldı ve bu durum siber güvenlik açısından ciddi bir risk oluşturdu.
Etkilenen Sistemler
Saldırı, sadece üç ücretli eklentiyi etkiledi:
- Product Slider Pro (3.5.4’den önceki versiyonlar için)
- Real Testimonials Pro (3.2.5)
- Smart Post Show Pro (4.0.2’den önceki versiyonlar için)
Bu durumu kanıtlayan WordPress güvenlik şirketi Defiant, saldırının 21 Mayıs 2026’da gerçekleştiğini ve potansiyel kötü niyetli güncellemelerin ilk raporlarını 10 Haziran 2026’da aldı. Şirket, 12 Haziran 2026’da virüslü eklentileri indirdiğinde ihlali doğruladı ve konuyu 16 Haziran 2026’da kamuoyuna duyurdu.
Saldırı Nasıl Çalışıyor?
Wordfence’ten alınan verilere göre, virüslü eklentiler, WordPress yöneticisi admin paneline eriştiğinde aktive olan kötü amaçlı bir yükleyici dosyası (LicenseLoader.php) içeriyor. Bu dosya, aşağıdaki adımları takip eder:
- Komut ve kontrol (C2) sunucusuna bağlanır.
- İkinci aşama (arka kapı) virüsünü indirir ve WordPress eklentileri listesinde gizli bir sahte eklenti (woocommerce-subscription veya woocommerce-notification) olarak yükler.
- Saldırgana bilgi gönderir ve ardından kendini silerek delilleri yok eder.
Bu sahte eklenti, enfekte olan sitelerde aşağıdaki bilgileri çalmaya çalışır:
- WordPress giriş bilgileri (kullanıcı adları, şifreler, oturum çerezleri, kullanıcı rolleri, IP adresleri ve tarayıcı detayları)
- Popüler WordPress güvenlik eklentilerinden iki faktörlü kimlik doğrulama (2FA) şifreleri
- wp-config.php dosyasındaki veritabanı kimlik bilgileri ve WordPress kimlik doğrulama anahtarları
- Yönetici hesap detayları
- SMTP/email hizmeti kimlik bilgileri
- Son üç ay içindeki WooCommerce sipariş verileri, ödeme yöntemi bilgileri dahil
Araştırmacılar, bu durumun bir yapı inşa süreci ihlali olduğunu düşünüyorlar ve WordPress.org üzerinde barındırılan sürümlerin temiz olduğunu doğruladılar. Saldırı, CVE-2026-10735 koduyla takip ediliyor ve CVE-2026-49777 olarak bir ikincil kayıt açıldı.
Çözüm ve Korunma
Eğer enfekte olmuş sahte WooCommerce eklentileri bulunursa, site yöneticilerinin aşağıdaki adımları atması önerilir:
- Tüm şifreleri sıfırlayın.
- İki faktörlü kimlik doğrulama (2FA) şifrelerini yeniden oluşturun.
- Hesaplarda sahte eklemeleri kontrol edin ve kullanıcı listesini gözden geçirin.
Şu anda, Product Slider Pro eklentisi için versiyon 3.5.4 ve Smart Post Show Pro için versiyon 4.0.2 üzerinde düzeltmeler yapılmıştır. Aksiyon almanız için, sistemlerinizi güncelleyerek güncel versiyonları kurmanız son derece önemlidir.
