Купили премиум-версию, а получили взлом в подарок. История одного «безопасного» обновления популярного плагина
NewsMakerРазбираемся, как невидимый посредник забрал бразды правления без единого сигнала тревоги.
Обновление плагина, которому доверяли сотни тысяч сайтов, оказалось замаскированной атакой — злоумышленники проникли во внутреннюю инфраструктуру разработчика и подменили официальную сборку своей вредоносной версией. Всё это произошло незаметно, а сам заражённый файл вёл себя как рабочий плагин, не вызывая никаких подозрений.
7 апреля 2026 года компания Nextend выпустила обновлённую версию своего платного WordPress -плагина Smart Slider 3 Pro с номером 3.5.1.35. Проблема в том, что к этому моменту в официальный канал обновлений уже вмешались посторонние. Примерно шесть часов заражённая сборка распространялась через штатный сервер обновлений, после чего угрозу обнаружили и отозвали.
Сама Nextend подтвердила факт взлома своей инфраструктуры. Любой сайт, установивший это обновление, получил не новую версию плагина, а полноценный инструментарий для удалённого доступа. Бесплатная версия плагина, распространяемая через официальный репозиторий WordPress, не пострадала.
Специалисты компании Patchstack разобрали вредоносный код по частям. Злоумышленники вырезали из главного PHP-файла плагина часть легитимного кода и вставили многоуровневый бэкдор , при этом сохранив рабочую логику загрузки плагина.
Обновление плагина, которому доверяли сотни тысяч сайтов, оказалось замаскированной атакой — злоумышленники проникли во внутреннюю инфраструктуру разработчика и подменили официальную сборку своей вредоносной версией. Всё это произошло незаметно, а сам заражённый файл вёл себя как рабочий плагин, не вызывая никаких подозрений.
7 апреля 2026 года компания Nextend выпустила обновлённую версию своего платного WordPress -плагина Smart Slider 3 Pro с номером 3.5.1.35. Проблема в том, что к этому моменту в официальный канал обновлений уже вмешались посторонние. Примерно шесть часов заражённая сборка распространялась через штатный сервер обновлений, после чего угрозу обнаружили и отозвали.
Сама Nextend подтвердила факт взлома своей инфраструктуры. Любой сайт, установивший это обновление, получил не новую версию плагина, а полноценный инструментарий для удалённого доступа. Бесплатная версия плагина, распространяемая через официальный репозиторий WordPress, не пострадала.
Специалисты компании Patchstack разобрали вредоносный код по частям. Злоумышленники вырезали из главного PHP-файла плагина часть легитимного кода и вставили многоуровневый бэкдор , при этом сохранив рабочую логику загрузки плагина.