WordPress plugins หลายรายการของ ShapedPlugin ถูกเจาะระบบผ่านการโจมตีแบบ Supply chain attack โดยมีการเผยแพร่เวอร์ชันที่ติดมัลแวร์ไปยังลูกค้าผ่านทางระบบอัปเดตอย่างเป็นทางการของผู้จำหน่าย
มัลแวร์ที่ถูกส่งมาด้วยวิธีนี้จะทำการติดตั้งปลั๊กอินปลอมที่แฝงตัวเป็น WooCommerce components เพื่อขโมยข้อมูล Credentials และให้สิทธิ์ผู้โจมตีสามารถเขียนไฟล์ลงในระบบจากระยะไกลได้
ShapedPlugin เป็นผู้พัฒนา และจัดจำหน่ายปลั๊กอินสำหรับ WordPress ที่เชี่ยวชาญด้าน Front-end/UI components และปลั๊กอินสำหรับการแสดงผลเนื้อหา โดยมีฐานการติดตั้งที่ใช้งานอยู่ทั้งหมดมากกว่า 400,000 รายการสำหรับผลิตภัณฑ์ฟรี
เหตุการณ์ด้านความปลอดภัยนี้ส่งผลกระทบต่อปลั๊กอินแบบชำระเงินเพียงสามตัวเท่านั้น ได้แก่ Product Slider Pro สำหรับ WooCommerce ก่อนเวอร์ชัน 3.5.4, Real Testimonials Pro เวอร์ชัน 3.2.5 และ Smart Post Show Pro ก่อนเวอร์ชัน 4.0.2
ตามข้อมูลที่บริษัทรักษาความปลอดภัย WordPress อย่าง Defiant ได้รวบรวมจาก WordFence firewall พบว่ามีการฝัง Backdoor ลงในปลั๊กอินเวอร์ชัน Pro ของ ShapedPlugin เมื่อวันที่ 21 พฤษภาคม และเริ่มมีลูกค้ารายงานเกี่ยวกับการอัปเดตที่อาจเป็นอันตรายเป็นครั้งแรกในวันที่ 10 มิถุนายน
นักวิจัยได้ยืนยันเหตุการณ์การละเมิดข้อมูลหลังจากดาวน์โหลดปลั๊กอินที่ติดมัลแวร์จากเว็บไซต์ของ ShapedPlugin ในวันที่ 12 มิถุนายน และผู้จำหน่ายรับทราบเหตุการณ์ดังกล่าวในวันที่ 16 มิถุนายน
ShapedPlugin ให้ข้อมูลกับ Wordfence ว่า "ทีมงานของเราได้เริ่มการสืบสวนทันทีหลังจากพบปัญหาดังกล่าว และเราได้ดำเนินมาตรการที่จำเป็นเพื่อลดผลกระทบเรียบร้อยแล้ว"
ทางผู้พัฒนากล่าวเสริมว่า พวกเขากำลังเตรียมปลั๊กอินเวอร์ชันอัปเดต และกำลังตรวจสอบความถูกต้องก่อนที่จะปล่อยออกสู่ช่องทางการอัปเดตต่อไป
การโจมตีแบบ Supply-chain attack
จากการวิเคราะห์ของ Wordfence พบว่าปลั๊กอินที่ติดมัลแวร์มี Loader file ที่เป็นอันตราย (LicenseLoader.php) ซึ่งจะเริ่มทำงานเมื่อผู้ดูแลระบบ WordPress เข้าสู่ admin panel การจัดการเว็บไซต์
ไฟล์ดังกล่าวจะติดต่อกับ C2 Server เพื่อดาวน์โหลดมัลแวร์ในขั้นตอนที่สองซึ่งเป็น backdoor จากนั้นจะทำการติดตั้งในรูปแบบปลั๊กอินปลอม (woocommerce-subscription หรือ woocommerce-notification) ส่งรายงานไปยังผู้โจมตี และจากนั้นจะลบตัวเองทิ้งเพื่อทำลายหลักฐาน
ปลั๊กอินปลอมนี้จะถูกซ่อนไว้จากรายชื่อปลั๊กอินของ WordPress และพยายามขโมยข้อมูลต่อไปนี้จากเว็บไซต์ที่ติดมัลแวร์:
- ข้อมูลการเข้าสู่ระบบ WordPress (ชื่อผู้ใช้, รหัสผ่าน, คุกกี้เซสชัน, User roles, IP addresses และข้อมูลบนเบราว์เซอร์
- รหัสผ่านสำหรับการยืนยันตัวตนแบบสองขั้นตอน (2FA) จากปลั๊กอินรักษาความปลอดภัยยอดนิยมของ WordPress
- ข้อมูล Database และ authentication keys ของ WordPress จากไฟล์ wp-config.php
- ข้อมูลบัญชีผู้ดูแลระบบ
- ข้อมูล Credential บริการ SMTP/email
- ข้อมูลคำสั่งซื้อของ WooCommerce ในช่วงสามเดือนที่ผ่านมา รวมถึงข้อมูลวิธีการชำระเงิน
นักวิจัยเชื่อว่านี่เป็นการโจมตีระบบสร้างซอฟต์แวร์ (Build pipeline) โดยวิเคราะห์จากการดัดแปลงไฟล์, รูปแบบ Timestamp ที่บ่งชี้ว่ามีการแทรกโค้ดแบบอัตโนมัติ และข้อมูลอ้างอิงของการสร้าง Git ที่อยู่ในแพ็กเกจ
นอกจากนี้ ยังได้รับการยืนยันว่าปลั๊กอินเวอร์ชันที่เผยแพร่บน WordPress.org นั้นปลอดภัย ซึ่งเป็นข้อพิสูจน์ที่แสดงให้เห็นว่า ผู้โจมตีได้เจาะเข้าถึงโครงสร้างพื้นฐานสำหรับระบบเผยแพร่อัปเดตของ ShapedPlugin โดยตรง
ขณะนี้ WordPress กำลังติดตามเหตุการณ์ภายใต้หมายเลข CVE-2026-10735 ในขณะที่มีการส่งรายงานหมายเลข CVE-2026-49777 เข้ามาซึ่งถือเป็นรายงานที่ซ้ำซ้อนกัน
การโจมตีของ ShapedPlugin เกิดขึ้นไม่นานหลังจากผลิตภัณฑ์ของ WordPress อีกหนึ่งรายการอย่าง OptinMonster ถูกโจมตีผ่าน Supply-Chain ของระบบ CDN ซึ่งอาจเกิดจากช่องโหว่ในเซิร์ฟเวอร์ด้านการตลาดที่ทำให้แฮ็กเกอร์สามารถขโมยข้อมูลการเข้าสู่ระบบสำหรับบัญชี CDN ได้
อย่างไรก็ตาม ในกรณีของ ShapedPlugin จุดที่ถูกโจมตีดูเหมือนจะอยู่ที่ Build pipeline
BleepingComputer ได้ติดต่อไปยังผู้จำหน่ายปลั๊กอินเพื่อขอคำชี้แจง และทางบริษัทได้ชี้แจงให้ทราบถึงการเปิดตัว Real Testimonial Pro เวอร์ชัน 3.2.6 ซึ่งระบุการแก้ไขเพียงอย่างเดียวที่อธิบายว่า “แก้ไข: คำเตือนบางส่วนที่เกี่ยวข้องกับ WPCS”
ShapedPlugin ยังระบุอีกด้วยว่า จะมีการเผยแพร่แถลงการณ์อย่างเป็นทางการ หลังจากที่ Wordfence ยืนยันว่าแพตช์อัปเดตดังกล่าวสามารถแก้ไขปัญหาได้เรียบร้อยแล้ว
Wordfence ระบุว่า มีการปล่อยอัปเดตเพื่อแก้ไขปัญหาดังกล่าวใน Product Slider Pro เวอร์ชัน 3.5.4 และ Smart Post Show Pro เวอร์ชัน 4.0.2 แล้ว
หากพบว่ามี WooCommerce plugins ปลอมติดตั้งอยู่ ขอแนะนำให้ผู้ดูแลเว็บไซต์ทำการรีเซ็ตรหัสผ่านทั้งหมดบนเว็บไซต์ สร้างรหัสสำหรับการยืนยันตัวตนแบบสองขั้นตอน (2FA) ใหม่ และตรวจสอบรายชื่อผู้ใช้เพื่อหาผู้ใช้แปลกปลอมที่ไม่ได้รับอนุญาต
ที่มา : bleepingcomputer
You must be logged in to post a comment.