Onbekende aanvallers hebben het update-systeem van de Smart Slider 3 Pro plugin voor WordPress en Joomla gekaapt om een besmette versie met een backdoor te verspreiden. Het gaat om versie 3.5.1.35 van Smart Slider 3 Pro voor WordPress, zo meldt beveiligingsbedrijf Patchstack. Smart Slider 3 is een populaire slider-plugin met meer dan 800.000 actieve installaties in zowel de gratis als Pro-versies.

Nextend, de ontwikkelaar van de plugin, bevestigt dat een onbevoegde partij toegang heeft gekregen tot hun update-infrastructuur en via het officiële updatekanaal een kwaadaardige build heeft verspreid. Deze versie was beschikbaar tussen de release op 7 april 2026 en de ontdekking ongeveer zes uur later. Websites die in deze periode update naar versie 3.5.1.35 uitvoerden, kregen een volledig uitgeruste remote access toolkit binnen.

De getrojaniseerde update maakt het mogelijk om verborgen administratoraccounts aan te maken en backdoors te installeren die systeemcommando’s op afstand kunnen uitvoeren via HTTP-headers. Daarnaast kan willekeurige PHP-code worden uitgevoerd via verborgen requestparameters. Patchstack beschrijft dat de malware pre-authenticated remote code execution mogelijk maakt via aangepaste HTTP-headers en beschikt over meerdere uitvoeringsmodi voor PHP-code en besturingssysteemcommando’s.

Verder creëert de malware een verborgen admin-account dat onzichtbaar is voor legitieme beheerders door filters in WordPress te manipuleren. Voor persistente toegang installeert de backdoor zich op drie locaties binnen de WordPress-installatie, waaronder een zogenaamd must-use plugin bestand en aanpassingen in het actieve thema en de wp-includes map. Gevoelige gegevens zoals site-URL, admin credentials en gebruikte persistentiemechanismen worden naar een command-and-control domein gestuurd.

Nextend heeft de update-servers offline gehaald, de kwaadaardige versie verwijderd en een onderzoek gestart. Gebruikers die versie 3.5.1.35 hebben geïnstalleerd, wordt geadviseerd direct te updaten naar versie 3.5.1.36. Daarnaast wordt aanbevolen om verdachte administratoraccounts te controleren en te verwijderen, en de geïnfecteerde versie van Smart Slider 3 Pro te verwijderen.