ShapedPlugin 업데이트 흐름 해킹, 워드프레스 사이트 감염
다수의 WordPress 플러그인이 ShapedPlugin에 의해 공급망 공격으로 해킹되어, 공식 업데이트 채널을 통해 paying customers(지불 고객)에게 악성 코드가 포함된 릴리스를 배포했습니다.
이 방법으로 전달된 악성 코드는 가짜 플러그인을 설치했으며, WooCommerce 구성 요소를 모방한 위장 플러그인이 설치되어 인증 정보를 도용하고 운영자에게 원격 파일 쓰기 권한을 제공했습니다.
ShapedPlugin은 프론트엔드/UI 구성 요소 및 콘텐츠 표시 플러그인에 특화된 WordPress 플러그인 업체로, 무료 제품의 총 활성 설치 대수가 40만 개 이상입니다.
이 보안 사건은 Product Slider Pro(버전 3.5.4 미만) for WooCommerce, Real Testimonials Pro 3.2.5, Smart Post Show Pro(버전 4.0.2 미만)의 오직 세 개 유료 플러그인에만 영향을 미쳤습니다.
WordPress 보안 기업인 Defiant이 WordFence 방화벽에서 수집한 데이터를 분석한 결과, 백도어가 ShapedPlugin의 Pro 빌드에 5월 21일에 주입되었고, 첫 번째 고객 보고는 6월 10일에 악성 업데이트 가능성에 대한 내용으로 나타났습니다.
연구팀은 6월 12일 ShapedPlugin 사이트에서 감염된 플러그인을 다운로드해 확인한 뒤, 출판사가 6월 16일에 사건을 인정했습니다.
“우리 팀은 문제점을 파악하는 즉시 조사를 시작했으며, 이미 문제를 완화하기 위한 필요한 조치를 시행했어요,” ShapedPlugin이 Wordfence에 말했습니다.
출판사는 또한 업데이트 채널에 플러그인을 배포하기 전에 최신 버전을 준비하고 검증 중이라고 밝혔습니다.
공급망 침해
Wordfence의 분석에 따르면, 감염된 플러그인에는 관리자 패널에 접근할 때 활성화되는 악성 로더 파일(LicenseLoader.php)이 포함되어 있습니다. 이 파일은 C2 서버와 연결해 두 단계(백도어)를 다운로드하고, woocommerce-subscription 또는 woocommerce-notification이라는 가짜 플러그인으로 설치한 뒤, 공격자에게 보고하고_self-delete_(자체 삭제)하여 흔적을 지웁니다.
- WordPress 로그인 정보(사용자명, 비밀번호, 세션 쿠키, 사용자 역할, IP 주소, 브라우저 정보)
- 인기 WordPress 보안 플러그인의 2단계 인증(2FA) 비밀번호
- 데이터베이스Credential 및 wp-config.php의 WordPress 인증 키
- 관리자 계정 상세 정보
- SMTP/이메일 서비스Credential
- 지난 3개월간 WooCommerce 주문 데이터, 결제 방법 포함
연구팀은 파일 수정 기록, 자동 주입을 시사하는 타임스탬프 패턴, 그리고 패키지에 포함된 Git 빌드 참조 등을 근거로 이가 빌드 파이프라인 compromis(침해)임을 판단했습니다.
또한 WordPress.org에 호스팅된 릴리스는 청결한 것으로 확인되어, 공격자들이 ShapedPlugin의 릴레이스 인프라에 침입했음을 시사합니다.
WordPress는 현재 이 사건을 CVE-2026-10735로 추적하고 있으며, CVE-2026-49777도 중복 제출되었습니다.
ShapedPlugin의 침해 사건은 최근 CDN 공급망 공격으로 인해 compromis된 주요 WordPress 제품인 OptinMonster와 유사한 상황에서 발생했습니다.
이번 사례에서는 공격의 침투점이 빌드 파이프라인인 것으로 보입니다.
BleepingComputer는 플러그인 업체에 의견을 요청했으며, 해당 업체는 Real Testimonial Pro 버전 3.2.6 릴리스를 가리켰으며, 여기서 ‘Fix: Some WPCS-관련 경고’라는 단일 수정 사항만 기록되어 있습니다.
ShapedPlugin은 Wordfence가 패치가 문제를 해결했는지 확인한 후에 공식 발표를 낼 것이라고 밝혔습니다.
Wordfence에 따르면, Product Slider Pro는 버전 3.5.4 및 Smart Post Show Pro는 버전 4.0.2에서 수정 릴리스가 제공되었습니다.
가짜 WooCommerce 플러그인이 발견될 경우, 웹사이트 관리자는 모든 비밀번호를 재설정하고, 2단계 인증(2FA) 비밀번호를 재발급하며, 사이트에 추가된 의심스러운 사용자 목록을 검토해야 합니다.
보안 팀은 성공적인 공격의 54%를 기록하고, 전체 경고 중 단 14%만이 발생합니다. 나머지 32%는 감지되지 않은 채로 여러분을 통과합니다.
Picus 화이트페이퍼는 위협이 탐지에 실패하지 않도록 SIEM과 EDR 규칙을 시험하는 침해 및 공격 시뮬레이션이 어떻게 작동하는지를 보여줍니다.