A versão 3[.]5[.]1[.]35 Pro para WordPress foi entregue pelo canal oficial de atualização por cerca de seis horas e instalava persistência, conta administrativa oculta, execução remota de código e exfiltração para domínio C2 defangado.
| Componente | Smart Slider 3 Pro versão 3[.]5[.]1[.]35 para WordPress, distribuído pelo sistema oficial de atualização da Nextend. |
| Vetor | Acesso não autorizado à infraestrutura de atualização permitiu publicar uma compilação maliciosa pelo canal confiável do produto. |
| Impacto | Sites que instalaram a versão adulterada podiam receber conta administrativa oculta, múltiplos backdoors, execução remota de código, execução de comandos por cabeçalhos HTTP e exfiltração de credenciais e metadados do ambiente. |
| Prioridade | Atualizar para a versão 3[.]5[.]1[.]36, remover persistências e opções maliciosas, revisar arquivos alterados, investigar logs de requisições e rotacionar credenciais administrativas afetadas. |
| Versões | A versão Pro 3[.]5[.]1[.]35 para WordPress ficou disponível por aproximadamente seis horas a partir de 7 de abril de 2026; a versão gratuita do plugin não foi indicada como afetada. |
| Artefatos | Persistência em object-cache-helper.php, alteração de functions.php, arquivo class-wp-locale-helper.php, opções _wpc_ak, _wpc_uid, _wpc_uinfo, _perf_toolkit_source e wp_page_for_privacy_policy_cache. |
| IoCs | Comunicação C2 citada para o domínio defangado wpjs1[.]com e uso de cabeçalhos HTTP personalizados como X-Cache-Status e X-Cache-Key. |
O incidente envolve uma adulteração de cadeia de suprimentos no mecanismo de atualização do Smart Slider 3 Pro, plugin usado em ambientes WordPress e Joomla. No caso descrito, o impacto técnico confirmado recai sobre a versão 3[.]5[.]1[.]35 Pro para WordPress. Um acesso não autorizado à infraestrutura de atualização da Nextend permitiu que uma compilação criada pelo operador malicioso fosse entregue pelo canal oficial do produto. A característica mais relevante para defesa é que a instalação não dependia de exploração direta contra o site, phishing contra o administrador ou abuso de credenciais locais do WordPress: o código hostil chegou por um fluxo que o administrador poderia considerar legítimo, durante uma janela de aproximadamente seis horas.
A versão adulterada não se limitava a um webshell simples. O pacote continha um conjunto de persistência e acesso remoto com funções redundantes, incluindo criação de conta administrativa oculta, execução de código PHP por parâmetros de requisição escondidos, execução de comandos do sistema por cabeçalhos HTTP personalizados e registro automático em infraestrutura de comando e controle. Também havia coleta de informações do site e do ambiente, incluindo URL, chave secreta do backdoor, hostname, versão do Smart Slider 3, versão do WordPress, versão do PHP, e-mail administrativo do WordPress, nome do banco de dados e credenciais em texto claro da conta administrativa criada pelo próprio malware.
O risco operacional é maior para sites que atualizaram para a versão 3[.]5[.]1[.]35 Pro entre a liberação em 7 de abril de 2026 e a remoção do pacote cerca de seis horas depois. A versão gratuita do plugin não foi apontada como afetada. A contenção informada incluiu desligamento dos servidores de atualização, remoção da versão maliciosa e investigação completa do incidente. Para operadores de WordPress, a resposta não deve terminar na atualização para a versão 3[.]5[.]1[.]36, porque a carga maliciosa criava persistência em múltiplos locais e armazenava estado em opções do WordPress com menor visibilidade operacional.
O fluxo começa fora do perímetro tradicional do site comprometido: a infraestrutura de atualização do fornecedor foi acessada de forma não autorizada e passou a entregar um build malicioso assinado pelo contexto operacional esperado do produto. Esse detalhe altera a lógica de triagem. Controles como regras genéricas de firewall, validação de nonce e permissões por papel dentro do WordPress não impedem a instalação quando o código nocivo entra como atualização confiável do plugin. Do ponto de vista do servidor, o componente instalado passa a ser o próprio veículo do backdoor.
Depois da instalação, a carga cria caminhos de reentrada independentes. Um deles usa cabeçalhos HTTP personalizados, incluindo X-Cache-Status e X-Cache-Key, para acionar execução remota antes de autenticação. O valor transportado pelo cabeçalho relevante é encaminhado para uma função de execução de comandos do sistema, o que dá ao operador uma forma de interagir com o servidor sem passar por login no painel administrativo. Outro modo permite executar código PHP arbitrário por parâmetros ocultos de requisição, ampliando o impacto para manipulação interna da aplicação e de seus arquivos.
A persistência administrativa também foi projetada para reduzir visibilidade no painel. A versão adulterada cria uma conta com perfil de administrador, com exemplo de nomenclatura semelhante a wpsvc_a3f1, e tenta escondê-la dos administradores legítimos por manipulação dos filtros pre_user_query e views_users. A carga ainda usa opções do WordPress com autoload desabilitado para armazenar uma chave secreta, o identificador da conta oculta e um objeto codificado em Base64 contendo usuário, senha e e-mail da conta fraudulenta. Essa escolha reduz a chance de a configuração aparecer em inspeções superficiais de opções carregadas automaticamente.
A redundância aparece em três pontos de persistência. O pacote cria um must-use plugin chamado object-cache-helper.php, nome que tenta se misturar a componentes de cache; acrescenta o backdoor ao arquivo functions.php do tema ativo; e deposita class-wp-locale-helper.php no diretório wp-includes. A mesma instalação ainda registra o site em um domínio de comando e controle defangado, wpjs1[.]com, enviando metadados de ambiente, credenciais da conta oculta e a lista de métodos de persistência implantados. Isso permite ao operador saber quais acessos continuam disponíveis e quais artefatos precisam ser usados para retomar controle.
A superfície afetada deve ser delimitada por produto, edição, versão e janela de atualização. O caso descrito envolve Smart Slider 3 Pro 3[.]5[.]1[.]35 para WordPress, entregue pelo canal oficial da Nextend. Sites que executam a edição gratuita não foram descritos como afetados. A presença do plugin em ambientes com mais de uma instância, múltiplos sites WordPress, cópias de homologação ou pipelines que sincronizam plugins entre ambientes aumenta o trabalho de verificação, porque o pacote pode ter sido instalado automaticamente ou propagado por rotinas internas de manutenção.
Em servidores afetados, a exposição não se limita ao diretório do plugin. A carga altera áreas centrais do WordPress e do tema ativo, armazena dados em wp_options, cria usuário administrativo oculto e pode modificar arquivos de configuração. A limpeza precisa considerar wp-config.php, .htaccess, diretório wp-includes, must-use plugins e functions.php. Como o backdoor aceita acionamento por HTTP, logs de servidor web, WAF, proxy reverso e aplicação podem conter os sinais mais importantes de uso posterior, especialmente requisições incomuns com cabeçalhos personalizados ou métodos POST fora do padrão esperado do site.
O impacto confirmado inclui controle remoto sobre o site por código PHP e comandos do sistema, manutenção de acesso administrativo encoberto e exfiltração de dados técnicos e credenciais associadas à conta fraudulenta. O material analisado não sustenta afirmar comprometimento de todos os bancos de dados, movimentação lateral para outros ativos ou roubo de dados de visitantes. Esses efeitos podem depender do ambiente, das permissões do processo PHP e de ações posteriores do operador. A investigação deve, portanto, separar a presença da versão adulterada, o acionamento do backdoor e qualquer atividade adicional observável em logs.
- Smart Slider 3 Pro 3[.]5[.]1[.]35 para WordPress instalado durante a janela de aproximadamente seis horas em 7 de abril de 2026.
- Instâncias WordPress em que plugins Pro são atualizados automaticamente ou por manutenção centralizada.
- Arquivos
functions.php,wp-config.php,.htaccess,wp-includes/class-wp-locale-helper.phpe must-use pluginobject-cache-helper.php. - Tabela
wp_optionscom chaves_wpc_ak,_wpc_uid,_wpc_uinfo,_perf_toolkit_sourceewp_page_for_privacy_policy_cache.
A busca deve começar por inventário de versões e histórico de atualização. Ambientes que mantêm logs de instalação de plugins, backups de arquivos, trilhas de administração ou snapshots do sistema de arquivos podem confirmar se a versão 3[.]5[.]1[.]35 Pro foi instalada e por quanto tempo permaneceu ativa. Em seguida, a equipe deve comparar o conteúdo dos caminhos de persistência informados com versões limpas do site. Alterações recentes em functions.php, presença de must-use plugin com nome associado a cache e arquivo auxiliar em wp-includes devem ser avaliadas como sinais de comprometimento até prova em contrário.
Nos logs HTTP, a investigação deve procurar requisições com cabeçalhos X-Cache-Status e X-Cache-Key, parâmetros ocultos fora do fluxo normal do plugin e POSTs incomuns para rotas do WordPress. O objetivo não é reproduzir a execução, mas identificar se o backdoor foi chamado após a instalação. Também é relevante correlacionar horários de update, criação de usuário, escrita de arquivos e conexões externas para o domínio C2 defangado wpjs1[.]com. Quando houver telemetria de rede, saídas HTTP ou DNS para esse domínio durante a janela de exposição ou depois dela devem elevar a prioridade de contenção.
A camada de identidade do WordPress precisa ser analisada com cuidado porque a conta fraudulenta foi projetada para ficar invisível em consultas administrativas. A equipe deve consultar diretamente os registros de usuários e metadados, comparar com contas esperadas, revisar e-mails administrativos e verificar mudanças não reconhecidas em permissões. A presença de opções codificadas em Base64 contendo credenciais da conta oculta é um forte indicador de instalação bem-sucedida. Como as opções foram gravadas com autoload desabilitado, inspeções que olham apenas para valores carregados automaticamente podem não encontrar todos os artefatos.
No endpoint e no servidor, a telemetria útil inclui processos filhos inesperados do PHP, criação ou alteração de arquivos em diretórios normalmente estáveis do WordPress, alterações no .htaccess, mudança em constantes de configuração relacionadas a cache e eventos de escrita próximos ao horário da atualização. Em hospedagens compartilhadas, onde a visibilidade de processo pode ser limitada, backups diferenciais e logs de acesso podem ser a evidência mais prática. A ausência de um único indicador não elimina o risco, porque o conjunto descrito usa múltiplos mecanismos de persistência e fallback.
- Instalação ou presença histórica da versão Smart Slider 3 Pro 3[.]5[.]1[.]35 em WordPress.
- Requisições HTTP com cabeçalhos
X-Cache-StatusouX-Cache-Keyfora do comportamento esperado do site. - Conexões DNS ou HTTP para
wpjs1[.]com, sempre tratado como indicador defangado para análise defensiva. - Conta administrativa desconhecida, especialmente se vinculada a opções
_wpc_uide_wpc_uinfo. - Alterações recentes em
functions.php,wp-config.php,.htaccess,wp-includese diretório de must-use plugins.
A resposta deve combinar atualização, remoção de persistência e validação de uso do backdoor. A primeira medida para sites que receberam a versão adulterada é atualizar para Smart Slider 3 Pro 3[.]5[.]1[.]36. Essa etapa reduz a exposição ao pacote malicioso, mas não remove automaticamente todos os artefatos que já tenham sido gravados. Por isso, a equipe deve remover os arquivos de persistência indicados, desfazer alterações no tema ativo, revisar wp-config.php, limpar a linha associada a WPCacheSalt no .htaccess quando presente e excluir as opções maliciosas da tabela wp_options.
Credenciais devem ser tratadas como expostas quando a instalação maliciosa for confirmada, porque a carga exfiltrava usuário e senha da conta administrativa criada por ela e metadados sensíveis do ambiente. A rotação deve incluir administradores do WordPress, contas de hospedagem quando houver indício de acesso ao sistema operacional, senhas de banco de dados se os arquivos de configuração tiverem sido acessados ou alterados, e qualquer segredo que possa ter ficado disponível ao processo PHP. A habilitação de autenticação multifator para administradores reduz o risco de reutilização de credenciais legítimas em etapas posteriores.
Depois da limpeza, a validação precisa confirmar que não restaram rotas de reentrada. Isso inclui nova varredura dos arquivos citados, comparação com backup confiável anterior ao incidente, verificação direta da tabela de usuários, inspeção completa de opções do WordPress e análise de logs para determinar se houve acionamento remoto. Se forem observadas requisições compatíveis com execução do backdoor, a contenção deve ser ampliada para investigação de integridade do sistema, revisão de arquivos enviados, análise de plugins e temas adicionais, e restauração a partir de backup limpo quando a confiança no estado atual não puder ser estabelecida.
Medidas preventivas de longo prazo devem focar a realidade de cadeia de suprimentos: registrar updates de plugins, manter inventário por versão, exigir revisão para atualizações automáticas de componentes críticos, monitorar alterações em arquivos sensíveis do WordPress e bloquear execução de PHP no diretório de uploads. Essas medidas não impedem todos os abusos de canal confiável, mas aumentam a chance de detectar alterações de persistência rapidamente e reduzem o impacto de cargas que tentem transformar uma atualização legítima em acesso remoto duradouro.
- Atualizar instalações afetadas para Smart Slider 3 Pro 3[.]5[.]1[.]36.
- Remover
object-cache-helper.php,class-wp-locale-helper.phpe qualquer trecho malicioso anexado afunctions.php. - Excluir as opções
_wpc_ak,_wpc_uid,_wpc_uinfo,_perf_toolkit_sourceewp_page_for_privacy_policy_cache. - Revisar
wp-config.phpe.htaccesspara remover alterações associadas à persistência descrita. - Investigar POSTs incomuns, cabeçalhos personalizados e conexões para o domínio C2 defangado.
- Ativar autenticação multifator para administradores e desabilitar execução de PHP no diretório de uploads.
0 Comentários