Plugin Pro ShapedPlugin WordPress Disusupi Backdoor dalam Serangan Rantai Pasokan
Baru-baru ini, sejumlah plugin Pro WordPress dari ShapedPlugin mengalami kompromi serius dalam serangan rantai pasokan yang melibatkan penyisipan backdoor berbahaya. Para pelaku ancaman berhasil menyusup ke saluran distribusi resmi dan meluncurkan pembaruan berisi kode berbahaya yang membahayakan situs pengguna.
Plugin yang Terkena Dampak Serangan
Menurut analisis dari Wordfence, serangan ini memengaruhi beberapa plugin Pro yang didistribusikan melalui saluran resmi ShapedPlugin, terutama platform Easy Digital Downloads (EDD) di account.shapedplugin.com. Versi gratis yang tersedia di WordPress.org tidak terpengaruh. Plugin yang terdampak adalah:
- Product Slider Pro for WooCommerce (versi sebelum 3.5.4)
- Real Testimonials Pro (versi 3.2.5)
- Smart Post Show Pro (versi sebelum 4.0.2)
Detail Teknikal Serangan dan Dampaknya
Serangan ini dikategorikan dengan tingkat keparahan maksimum, yakni CVE-2026-49777 untuk Product Slider Pro dengan skor CVSS 10.0, dan CVE-2026-10735 untuk keseluruhan insiden dengan skor 9.8. Pelaku berhasil menginjeksi sebuah loader di versi plugin yang terinfeksi, yang aktif setiap kali halaman admin diakses dan mengunduh payload dari server remote beralamat 194.76.217.28:2871.
Payload ini kemudian diinstal sebagai plugin palsu yang:
- Melaporkan domain korban ke server pelaku
- Menghapus dirinya sendiri untuk menutupi jejak
- Menyembunyikan keberadaan dari daftar plugin admin WordPress
- Mencuri kredensial login dalam bentuk teks biasa serta kode two-factor authentication (2FA)
- Membuat berbagai metode persistensi, termasuk kemampuan menulis file secara sewenang-wenang melalui REST endpoint khusus dengan token autentikasi tertentu
- Menanam web shell dengan fitur eksekusi perintah berbahaya
Selain itu, plugin palsu tersebut menggunakan file PHP bernama install-persistent.php untuk mengakses dan mengekstrak data-data sensitif berikut:
- Isi lengkap
wp-config.phptermasuk kredensial database, kunci autentikasi, dan pengaturan debug - Daftar semua akun administrator beserta tanggal pendaftarannya
- Kredensial plugin mail seperti WP Mail SMTP, Post SMTP, dan Easy WP SMTP
- Data pesanan WooCommerce selama 3 bulan terakhir beserta rincian metode pembayaran
File ini akan menghapus dirinya sendiri setelah menampilkan data tersebut, sehingga semakin menyulitkan proses investigasi.
Asal-Usul dan Dampak Serangan
Bukti yang ditemukan menunjukkan bahwa serangan ini kemungkinan besar merupakan kompromi terhadap build pipeline vendor, bukan hanya sekadar pembajakan paket update. Hal ini sangat berbahaya karena pengguna yang membeli lisensi resmi dan melakukan pembaruan langsung dari sistem vendor resmi justru menjadi korban malware tersembunyi ini.
Tindakan Vendor dan Rekomendasi untuk Pengguna
Setelah insiden ini dilaporkan, ShapedPlugin mengonfirmasi kejadian tersebut dan menyatakan sedang melakukan evaluasi menyeluruh terhadap proses distribusi dan rilis produk mereka untuk memastikan integritas di masa mendatang. Versi baru dari plugin yang terdampak dijadwalkan akan dirilis setelah melewati tinjauan keamanan dan pengujian validasi yang ketat.
Untuk pemilik situs yang telah menginstal versi terinfeksi, direkomendasikan:
- Segera mereset semua kata sandi pengguna
- Mencabut dan membuat ulang token 2FA untuk seluruh pengguna
- Memeriksa akun administrator apakah terdapat penambahan tidak sah
- Memeriksa konfigurasi plugin mail untuk memastikan tidak ada kredensial SMTP yang dimodifikasi
Menurut laporan The Hacker News, insiden ini menjadi peringatan penting bagi seluruh pemilik situs WordPress agar selalu waspada terhadap risiko rantai pasokan dan menjaga integritas sistem pembaruan plugin mereka.
Analisis Redaksi
Menurut pandangan redaksi, serangan rantai pasokan seperti yang menimpa ShapedPlugin ini menunjukkan betapa rentannya ekosistem WordPress terhadap serangan canggih yang menyasar proses distribusi perangkat lunak. Backdoor yang tersembunyi dalam plugin berlisensi resmi bukan hanya mengancam keamanan data pengguna, tetapi juga menggerus kepercayaan terhadap vendor dan sistem pembaruan otomatis.
Lebih jauh, insiden ini menggarisbawahi pentingnya penerapan prinsip keamanan berlapis (defense in depth) oleh para pemilik situs, termasuk pengawasan ketat terhadap aktivitas plugin, audit rutin terhadap akun administrator, dan pengamanan 2FA yang efektif. Selain itu, vendor plugin harus transparan dan proaktif dalam menangani insiden serta memperkuat rantai pasokan perangkat lunak mereka.
Ke depan, publik dan pelaku industri perlu memantau perkembangan perbaikan dari ShapedPlugin serta kesiapan industri WordPress dalam menghadapi ancaman serupa. Pelajaran utama adalah bahwa keamanan rantai pasokan merupakan titik kritis yang tidak boleh diabaikan dalam era digital saat ini.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
