Infiltrasi Build Pipeline, Serangan Rantai Pasok ShapedPlugin Infeksi Ratusan Situs WordPress

Sektor keamanan ekosistem WordPress kembali diguncang oleh serangan rantai pasok (supply chain attack) tingkat lanjut. Kelompok peretas berhasil membobol infrastruktur perilisan milik ShapedPlugin, vendor populer yang berspesialisasi dalam pembuatan komponen antarmuka (UI) dan dekorasi konten.

Aktor skenario memodifikasi sistem pembaruan resmi vendor untuk menyebarkan pembaruan terinfeksi (infected updates) secara langsung kepada para pelanggan berbayar. Berdasarkan pelacakan forensik, kode berbahaya tersebut disuntikkan ke dalam varian produk Pro (Premium) sejak tanggal 21 Mei, sebelum akhirnya terdeteksi massal setelah adanya laporan keluhan konsumen pada pertengahan Juni ini.

Tiga Varian Produk “Pro” yang Terkonfirmasi Terinfeksi

Berbeda dengan versi gratis yang diinang di direktori resmi WordPress.org (yang terkonfirmasi tetap bersih dan aman), serangan ini spesifik menargetkan infrastruktur distribusi mandiri milik ShapedPlugin untuk produk berbayar. Kerentanan berbahaya ini kini dilacak di bawah kode CVE-2026-10735.

Berikut adalah tiga produk premium yang terinfeksi beserta versi aman (patched versions) yang wajib segera Anda pasang:

Mekanisme Infeksi: Pemuat Lisensi Palsu dan Kamuflase WooCommerce

Pakar keamanan siber dari Defiant (Wordfence) memaparkan bahwa taktik serangan ini berjalan secara otomatis dan terstruktur rapi untuk mengelabui pemilik situs:

[ Admin Akses Panel Dashboard ] ──► Pemuat Malicious (LicenseLoader.php) Aktif Otomatis
                                                    │
                                                    ▼
[ Kontak ke Server C2 Peretas ] ──► Mengunduh Backdoor Tahap Dua dari Jarak Jauh
                                                    │
                                                    ▼
[ Instalasi Plugin Siluman   ] ──► Menyamar sebagai 'woocommerce-subscription' (Hidden)
                                                    │
                                                    ▼
[ Sapu Bersih Data & Kunci    ] ──► Gasak Kredensial, Token 2FA, & Menghapus Jejak Loader

1. Pemicu Aktivasi: Paket pembaruan palsu membawa berkas pemuat berbahaya bernama LicenseLoader.php. Berkas ini akan otomatis tereksekusi ketika administrator situs masuk (login) ke dalam panel dasbor admin WordPress.
2. Instalasi Plugin Siluman: Berkas pemuat akan menghubungi server perintah penyerang (Command and Control – C2) untuk mengunduh kode backdoor tahap kedua. Kode ini kemudian diinstal sebagai plugin palsu dengan nama yang mirip komponen resmi, yaitu woocommerce-subscription atau woocommerce-notification. Plugin ini diprogram agar tersembunyi secara fisik dari daftar menu plugin WordPress.
3. Penghapusan Jejak: Setelah sukses menanamkan plugin siluman dan mengirimkan laporan keberhasilan ke peretas, berkas LicenseLoader.php akan menghapus dirinya sendiri (self-deletes) untuk meminimalkan jejak digital saat diaudit oleh tim IT.

Data Sensitif yang Diincar dan Diambil Alih

Jika sebuah situs web berbasis WooCommerce atau WordPress terinfeksi oleh plugin siluman tersebut, aktor siber memiliki kemampuan kendali penulisan dokumen jarak jauh (remote file-writing capabilities) serta dapat menguras jajaran informasi krusial berikut:

• Kredensial Akses Utama: Nama pengguna (usernames), kata sandi (passwords), kuki sesi aktif (session cookies), peran pengguna, alamat IP, serta detail browser administrator.
• Rahasia Keamanan (2FA): Kunci rahasia autentikasi dua faktor (2FA) yang tersimpan di dalam jajaran plugin keamanan WordPress populer.
• Kredensial Basis Data: Informasi login database server serta kunci autentikasi utama rahasia yang tersimpan di dalam berkas konfigurasi inti wp-config.php.
• Data Transaksi E-Commerce: Rekam jejak pesanan dan transaksi belanja WooCommerce dari tiga bulan terakhir, termasuk data metode pembayaran yang digunakan oleh pelanggan.
• Kredensial Server Email: Informasi akses akun SMTP atau layanan surat elektronik yang terhubung dengan situs.

Panduan Penyelamatan dan Pembersihan Darurat bagi Sysadmin

Pihak ShapedPlugin mengonfirmasi bahwa mereka telah meluncurkan versi perbaikan dan menyisipkannya pada kanal pembaruan resmi. Pada versi Real Testimonial Pro 3.2.6, perbaikan disamarkan dengan deskripsi “Fix: Some WPCS-related warnings”.

Bagi para pengelola situs web yang menggunakan produk-produk Pro dari ShapedPlugin, sangat direkomendasikan untuk segera melakukan tindakan investigasi dan pengamanan berikut:

1. Audit Direktori Plugin: Masuk ke server Anda via FTP atau File Manager di cPanel. Periksa folder /wp-content/plugins/. Jika Anda menemukan folder bernama woocommerce-subscription atau woocommerce-notification padahal Anda tidak pernah memasang ekstensi resmi tersebut, segera hapus folder tersebut.
2. Pembaruan Paksa: Lakukan pembaruan secepatnya ke versi Product Slider Pro 3.5.4, Real Testimonials Pro 3.2.6, dan Smart Post Show Pro 4.0.2.
3. Pergantian Kredensial Total: Lakukan reset massal terhadap seluruh kata sandi akun administrator, kata sandi basis data (database), serta kredensial akun hosting/SFTP Anda.
4. Segarkan Token 2FA: Hapus dan buat ulang seluruh rahasia kode autentikasi dua faktor (2FA) untuk semua akun pengelola situs guna mengantisipasi token lama yang sudah terlanjur dicuri oleh peretas.
5. Periksa Daftar Pengguna: Masuk ke menu Users di WordPress, pastikan tidak ada akun administrator siluman atau akun asing baru yang ditambahkan tanpa sepengetahuan Anda.

Sumber: Wordfence Defiant Threat Intelligence Report & ShapedPlugin Security Advisory