ShapedPlugin’a ait birden fazla WordPress eklentisi, resmi güncelleme sistemi üzerinden ödeme yapan müşterilere zararlı sürümler dağıtan bir tedarik zinciri saldırısında ele geçirildi. Bu yöntemle dağıtılan kötü amaçlı yazılım, WooCommerce bileşenlerini taklit eden sahte bir eklenti yükleyerek kullanıcı kimlik bilgilerini çaldı ve saldırganlara uzaktan dosya yazma yetkisi verdi. Wordfence güvenlik duvarı verilerine göre, ShapedPlugin tedarik zinciri saldırısı Product Slider Pro, Real Testimonials Pro ve Smart Post Show Pro eklentilerini etkiledi.

Sahte WooCommerce Eklentisi ile Kimlik Bilgileri Hedef Alınıyor

ShapedPlugin WordPress eklenti ihlali kapsamında yapılan analiz, ele geçirilen eklentilerin LicenseLoader.php adlı kötü amaçlı bir yükleyici dosyası içerdiğini ortaya koydu. Bir WordPress yöneticisi site yönetim paneline eriştiğinde bu dosya etkinleşiyor ve komuta kontrol sunucusuyla bağlantı kurarak ikinci aşama arka kapıyı indiriyor. Ardından bu dosya, woocommerce-subscription veya woocommerce-notification adıyla sahte bir eklenti olarak yükleniyor, saldırgana rapor gönderiyor ve kendini silerek kanıtları yok ediyor.

👉️ İlginizi Çekebilir: Fortinet FortiSandbox Kritik Güvenlik Açıkları Aktif Saldırılarda Kullanılıyor

Sahte eklenti, WordPress eklenti listesinden gizleniyor ve enfekte sitelerden çok sayıda hassas veriyi topluyor. Bu veriler arasında WordPress oturum açma kimlik bilgileri, iki faktörlü kimlik doğrulama sırları, wp-config.php dosyasındaki veritabanı kimlik bilgileri, yönetici hesap detayları, SMTP e-posta hizmeti kimlik bilgileri ve son üç aya ait WooCommerce sipariş verileri bulunuyor. Wordfence araştırmacıları, saldırının bir yapı hattı ele geçirilmesi olduğunu düşünüyor. Bu değerlendirme, dosya değişikliklerine, otomatik enjeksiyonu gösteren zaman damgası kalıplarına ve paketlerde bulunan Git yapı referanslarına dayanıyor.

ShapedPlugin Yama Yayınlayarak Güvenlik Açığını Kapattı

ShapedPlugin, güvenlik ihlalini 16 Haziran’da doğruladı. Şirket, “Endişeyi tespit ettikten sonra ekibimiz derhal soruşturma başlattı ve sorunu hafifletmek için gerekli önlemleri zaten uyguladık” açıklamasını yaptı. Yayıncı, güncelleme kanallarına göndermeden önce yeni eklenti sürümlerini hazırladıklarını ve doğruladıklarını ekledi. WordPress, olayı CVE-2026-10735 numarasıyla takip ederken, CVE-2026-49777 de çift kayıt olarak eklendi.

Wordfence’e göre düzeltmeler Product Slider Pro için 3.5.4 sürümünde ve Smart Post Show Pro için 4.0.2 sürümünde kullanıma sunuldu. ShapedPlugin ayrıca Real Testimonial Pro 3.2.6 sürümünü yayınladı. Site yöneticilerine, sahte WooCommerce eklentileri bulunması durumunda tüm şifreleri sıfırlamaları, iki faktörlü kimlik doğrulama sırlarını yeniden oluşturmaları ve kullanıcı listelerini yetkisiz eklemeler açısından incelemeleri öneriliyor. OptinMonster ihlalinin ardından gelen bu saldırı, WordPress eklenti ekosisteminin ne kadar kırılgan olduğunu bir kez daha gösterdi.