Ein Angriff auf die Software-Lieferkette hat Tausende von WordPress-Websites gefährdet, nachdem Angreifer das Update-System des Plugin-Entwicklers ShapedPlugin kompromittiert hatten. Der Vorfall ermöglichte es, Schadcode über legitime Software-Updates an zahlende Kunden auszuliefern und verwandelte ein gewöhnliches Plugin-Update in einen Verbreitungsweg für Malware. Sicherheitsforscher warnen, dass betroffene Website-Betreiber möglicherweise unbemerkt Hintertüren installiert haben, die Angreifern langfristigen Zugriff auf ihre Systeme verschaffen.
Angreifer nahmen Premium-Updates ins Visier
Der Angriff betraf drei Premium-Produkte von ShapedPlugin, die über die offizielle Update-Infrastruktur des Unternehmens verteilt wurden. Forscher stellten fest, dass Angreifer Schadcode in Versionen von Product Slider Pro, Real Testimonials Pro und Smart Post Show Pro eingeschleust hatten. Die kompromittierten Updates wurden direkt an Kunden ausgeliefert, die sie über die regulären Vertriebswege herunterluden.
Nach Angaben der Ermittler tauchte der Schadcode im Mai in den Pro-Plugin-Versionen des Anbieters auf. Im Juni meldeten Kunden erste verdächtige Aktivitäten, woraufhin Sicherheitsforscher den Vorfall genauer untersuchten. ShapedPlugin bestätigte später den Sicherheitsvorfall und leitete Maßnahmen zur Behebung des Problems ein.
Malware installierte versteckte Hintertüren
Die schädlichen Updates richteten weit mehr Schaden an, als nur Websites zu infizieren. Forscher entdeckten, dass die Malware ein gefälschtes WooCommerce-bezogenes Plugin installierte, das einen dauerhaften Zugriff auf die kompromittierten Systeme sicherstellen sollte. Die Schadsoftware konnte Administrator-Zugangsdaten stehlen, sensible Informationen sammeln und Angreifern ermöglichen, Dateien aus der Ferne zu erstellen oder zu verändern.
Die Ermittler fanden außerdem Funktionen, die Angreifern halfen, zusätzliche Sicherheitsmaßnahmen zu umgehen. Die Malware richtete versteckte Zugangsmechanismen ein, die es den Betreibern ermöglichten, die Kontrolle über die Systeme selbst nach einer ersten Entdeckung zurückzuerlangen. Einige Komponenten entfernten zudem Spuren des ursprünglichen Angriffs, was die forensische Analyse erheblich erschwerte.
Angriffe auf die Lieferkette nehmen weiter zu
Der Vorfall verdeutlicht die wachsende Bedrohung durch Angriffe auf die Software-Lieferkette. Anstatt einzelne Websites direkt anzugreifen, kompromittieren Cyberkriminelle vertrauenswürdige Softwareanbieter und verteilen Malware über legitime Update-Kanäle. Website-Betreiber befolgen oft empfohlene Sicherheitspraktiken, indem sie ihre Software aktuell halten, doch genau dieses Vertrauen nutzen solche Angriffe aus.
WordPress bleibt aufgrund seines umfangreichen Plugin-Ökosystems ein beliebtes Ziel. Sicherheitsforscher warnen seit Jahren davor, dass Schwachstellen in Plugins und kompromittierte Update-Mechanismen Angreifern einen effizienten Weg bieten, eine große Anzahl von Websites gleichzeitig zu erreichen.
Fazit
Der ShapedPlugin-Angriff zeigt, wie schwerwiegend die Folgen einer kompromittierten Software-Lieferkette sein können. Die Angreifer nutzten einen vertrauenswürdigen Update-Prozess, um Malware direkt an Kunden zu verteilen. Dadurch konnten sie Infektionen verbreiten, ohne Schwachstellen auf einzelnen Websites ausnutzen zu müssen. Betreiber der betroffenen Plugins sollten sicherstellen, dass sie saubere Versionen verwenden, ihre Systeme auf Anzeichen einer Kompromittierung überprüfen und Zugangsdaten ändern, falls der Verdacht auf unbefugten Zugriff besteht.


0 Kommentare zu „ShapedPlugin-Angriff infiziert WordPress-Websites über Plugin-Updates“