Update Smart Slider 3 Pro Mengandung Backdoor Sebar Malware via Server Nextend

Update plugin Smart Slider 3 Pro versi 3.5.1.35 untuk WordPress dan Joomla berhasil disusupi oleh pelaku ancaman yang tidak dikenal, yang berhasil menguasai sistem pembaruan Nextend, pengembang plugin tersebut. Akibatnya, selama sekitar enam jam sejak rilis pada 7 April 2026, pengguna yang melakukan pembaruan secara resmi malah menerima versi berbahaya yang mengandung backdoor berbahaya.

Menurut perusahaan keamanan WordPress, Patchstack, Smart Slider 3 Pro adalah plugin slider populer dengan lebih dari 800.000 instalasi aktif di versi gratis dan Pro. Namun, insiden ini menunjukkan celah serius dalam rantai pasokan pembaruan plugin yang selama ini dianggap aman.

Akses Sistem Update Nextend Diretas, Update Berbahaya Tersebar

Nextend mengonfirmasi bahwa pihak tidak berwenang berhasil mengakses sistem pembaruan mereka dan menyebarkan versi berbahaya 3.5.1.35 yang mengandung malware tingkat lanjut. Versi ini aktif selama kurang lebih enam jam sebelum akhirnya terdeteksi dan ditarik kembali.

“Pihak tidak sah mendapatkan akses ke infrastruktur pembaruan Nextend dan mendistribusikan build yang sepenuhnya dibuat oleh penyerang melalui saluran pembaruan resmi,” ujar Patchstack.

Malware ini memungkinkan pelaku untuk melakukan berbagai aksi berbahaya, termasuk membuat akun administrator tersembunyi, mengeksekusi perintah sistem secara remote melalui header HTTP, dan menjalankan kode PHP arbitrer melalui parameter tersembunyi.

Fitur Backdoor dan Teknik Persembunyian Malware

Patchstack menguraikan kemampuan malware sebagai berikut:

• Eksekusi kode jarak jauh tanpa autentikasi lewat header HTTP khusus seperti X-Cache-Status dan X-Cache-Key, yang menjalankan kode melalui fungsi shell_exec().
• Backdoor dengan dua mode eksekusi, memungkinkan penyerang menjalankan kode PHP dan perintah sistem operasi pada server korban.
• Pembuatan akun admin tersembunyi (contoh: "wpsvc_a3f1") yang tidak terlihat oleh administrator sah dengan memanipulasi filter WordPress.
• Penyimpanan kunci rahasia dan informasi akun dalam opsi WordPress yang tidak di-autoload untuk mengurangi visibilitas dalam dump data.
• Persistensi malware di tiga lokasi berbeda: sebagai plugin must-use palsu "object-cache-helper.php", modifikasi file functions.php tema aktif, dan file "class-wp-locale-helper.php" di direktori wp-includes.
• Ekfiltrasi data penting seperti URL situs, kunci backdoor, hostname, versi Smart Slider 3, WordPress dan PHP, email admin, nama database, serta kredensial admin ke domain command-and-control "wpjs1[.]com".

Tindakan Pengamanan dan Rekomendasi untuk Pengguna

Nextend segera menutup server update dan menghapus versi berbahaya setelah insiden terdeteksi. Pengguna yang sudah menginstal versi 3.5.1.35 disarankan untuk segera memperbarui ke versi 3.5.1.36 yang bersih.

Berikut langkah-langkah pembersihan yang direkomendasikan untuk pengguna terdampak:

1. Periksa dan hapus akun administrator yang mencurigakan atau tidak dikenal.
2. Hapus plugin Smart Slider 3 Pro versi 3.5.1.35 dari situs.
3. Pasang ulang versi plugin yang bersih dan resmi.
4. Hapus semua file persisten malware yang memungkinkan backdoor aktif terus-menerus.
5. Hapus opsi WordPress berbahaya dari tabel wp_options: _wpc_ak, _wpc_uid, _wpc_uinfo, _perf_toolkit_source, dan wp_page_for_privacy_policy_cache.
6. Bersihkan file wp-config.php, termasuk menghapus baris "define('WP_CACHE_SALT', '');" jika ada.
7. Hapus baris "# WPCacheSalt " dari file .htaccess di root WordPress.
8. Reset kata sandi administrator dan pengguna database WordPress.
9. Ganti kredensial FTP/SSH dan akun hosting yang terkait.
10. Periksa website dan log untuk perubahan tidak sah dan permintaan POST mencurigakan.
11. Aktifkan autentikasi dua faktor (2FA) untuk admin dan nonaktifkan eksekusi PHP di folder uploads.

Analisis Redaksi

Menurut pandangan redaksi, insiden ini merupakan contoh nyata dari serangan rantai pasokan (supply chain attack) yang makin marak di dunia siber, di mana mekanisme pembaruan resmi justru dijadikan vektor serangan untuk menyusupkan malware. Keamanan tradisional yang mengandalkan perimeter kini tidak memadai karena penyerang memanfaatkan kepercayaan terhadap saluran distribusi resmi plugin.

Lebih jauh, tingkat kompleksitas malware yang ditemukan menunjukkan bahwa serangan ini dirancang untuk persistensi jangka panjang dan pengambilan kendali penuh terhadap situs korban tanpa terdeteksi. Ini mengancam tidak hanya keamanan data pemilik situs tapi juga pengunjung dan integritas keseluruhan ekosistem WordPress.

Pembaca harus mewaspadai pentingnya memperbarui plugin hanya dari sumber terpercaya dan rutin melakukan audit keamanan secara menyeluruh. Ke depannya, pengembang plugin harus meningkatkan keamanan infrastruktur pembaruan mereka dengan autentikasi ganda dan pemantauan aktif untuk mencegah kompromi serupa.

Untuk informasi lengkap dan update lebih lanjut, kunjungi artikel asli di The Hacker News dan sumber terpercaya lainnya seperti Kompas Tekno.