Tjedan koji je uzdrmao web: WordPress supply chain napadi i Booking.com hack

Prva polovica travnja 2026. će se pamtiti kao jedan od najgorih tjedana za sigurnost web ekosustava u posljednje vrijeme. U razmaku od nekoliko dana dogodila su se tri velika incidenta: supply chain kompromitacija 26+ WordPress pluginova, backdoor distribuiran kroz službeni update kanal Smart Slidera 3 Pro, i potvrđeno curenje korisničkih podataka s Booking.com platforme. Svaki incident zasebno bi bio ozbiljna vijest — zajedno, crtaju sliku ekosustava u kojem povjerenje u "službene" kanale više nije garancija sigurnosti.

Napad #1: Essential Plugin — kupljeno, čekano, aktivirano

Što se dogodilo

Početkom 2025. kupac poznat kao "Kris" kupio je cijeli portfelj Essential Plugin (ranije WP Online Support) — 26 WordPress pluginova s ukupno stotinama tisuća aktivnih instalacija — putem platforme Flippa za šesteroznamenkasti iznos. Među pogođenim pluginovima su Countdown Timer Ultimate (20k+ instalacija), Popup Anything on Click (30k+), WP Logo Showcase Responsive Slider (30k+), WP Testimonial with Widget i brojni drugi.

Kupac je 12. svibnja 2025. dobio SVN commit pristup na WordPress.org, a 8. kolovoza 2025. objavio verziju 2.6.7 s naizgled bezazlenom porukom o kompatibilnosti s WordPress 6.8.2. U toj verziji skriveno je 191 linija backdoor koda unutar postojećeg wpos-analytics modula — PHP deserijalizacijski backdoor koji omogućuje udaljeno izvršavanje koda.

Backdoor je ostao neaktivan osam mjeseci.

Aktivacija: 5.–6. travnja 2026.

Između 04:22 i 11:06 UTC na dan 6. travnja, command-and-control domena analytics.essentialplugin.com počela je distribuirati payload svim stranicama koje su pokretale zaražene pluginove. Malware je:

• ubacio datoteku wp-comments-posts.php u webroot
• injektirao SEO spam kod u wp-config.php (povećanje datoteke za ~6 KB)
• prikazivao zaraženi sadržaj isključivo Googlebotu — vlasnici stranica nisu ništa primjećivali pregledavajući vlastiti sajt

Napadač je koristio Ethereum smart contract za DNS rezoluciju C2 domene — tehnika koja otežava gašenje infrastrukture.

Reakcija WordPress.org-a

7. travnja WordPress Plugins Review tim je trajno zatvorio svih 26+ pluginova — jedno od najvećih masovnih uklanjanja u povijesti platforme. Dan kasnije objavljena je prisilna verzija 2.6.9.1 koja dodaje return; naredbu da onemogući phone-home funkciju. Ali: ta verzija ne čisti wp-config.php. Tko je bio zaražen, ostaje zaražen dok ručno ne očisti datoteku.

Izvor: Patchstack, The Next Web, mySites.guru

Napad #2: Smart Slider 3 Pro — zaražen službeni update kanal

Što se dogodilo

Isti tjedan, potpuno nepovezan napad pogodio je Smart Slider 3 Pro — popularni slider plugin s preko 900.000 aktivnih instalacija (uključujući korporativne stranice i državne portale). Ovdje napadač nije kupio plugin nego je kompromitirao update infrastrukturu Nextenda, tvrtke koja razvija Smart Slider.

7. travnja 2026. napadač je zamijenio legitimnu verziju 3.5.1.35 backdoored verzijom na Nextendovim update serverima. Svaka stranica koja je kliknula "Update" ili imala uključene automatske nadogradnje — primila je malware kroz službeni kanal.

Što malware radi

Prema analizi Patchstacka i BleepingComputera, payload je bio daleko sofisticiraniji od Essential Plugin napada:

• Remote code execution (RCE) — izvršavanje PHP i shell naredbi putem skrivenog _chk GET parametra
• Skriveni admin korisnici — kreiran korisnik s prefiksom wpsvc_ i e-mailom [email protected], nevidljiv u admin sučelju
• Višeslojni backdoori — mu-plugins/object-cache-helper.php, injekcija u theme functions.php, datoteka u wp-includes/
• Krađa podataka — slanje kredencijala i informacija o stranici na vanjski server (wpjs1.com)

Zaražena verzija bila je dostupna otprilike 6 sati prije nego je otkrivena i uklonjena. Nextend je objavio čistu verziju 3.5.1.36 i detaljan vodič za čišćenje.

Važno: Pogođena je samo Pro verzija. Besplatna verzija sa WordPress.org repozitorija nije kompromitirana.

Izvor: BleepingComputer, Patchstack, Nextend advisory

Napad #3: Booking.com — podaci milijuna putnika u krivim rukama

Što se dogodilo

12. travnja 2026. Booking.com je otkrio sumnjive aktivnosti vezane uz korisničke rezervacije. Dva dana kasnije, TechCrunch i BBC objavili su potvrdu: neovlaštene treće strane pristupile su osobnim podacima korisnika, uključujući:

• Imena, e-mail adrese, telefonske brojeve
• Fizičke adrese
• Detalje rezervacija (datumi, smještaj, poruke razmijenjene s objektom)

Booking.com je potvrdio da financijski podaci nisu kompromitirani. Tvrtka je resetirala PIN-ove rezervacija i obavijestila pogođene korisnike e-mailom. Međutim, odbija otkriti koliko je korisnika pogođeno i iz kojih regija.

"Reservation hijacking" — prijevare koje slijede

Norton je ove prijevare nazvao "reservation hijacks". Prevaranti kontaktiraju korisnike Booking.com-a putem WhatsAppa, SMS-a ili e-maila, predstavljaju se kao hotel i tvrde da postoji problem s plaćanjem. Koriste stvarne podatke o rezervaciji — točan hotel, datume, kontakt podatke — što čini prijevaru uvjerljivom čak i za iskusne korisnike.

Luis Corrons, sigurnosni stručnjak iz Nortona, za BBC: "Reservation hijack prijevare postoje već neko vrijeme, ali ovi novi podaci ih čine daleko opasnijima jer daju kriminalcima preciznost."

Darren Guccione, CEO Keeper Securityja: "Kad breach platforme veličine Booking.com-a prijeđe od eksfiltracije podataka do aktivnih phishing kampanja u roku dana, to signalizira nešto namjernije od oportunizma."

Airbnb: nema potvrde, ali VECT grupa prijeti

Hakerska grupa VECT javno je imenovala i Airbnb uz Booking.com u istom postu. Zasebno, VECT je navodno kompromitirao Guesty — platformu za upravljanje nekretninama koja ima integracije i s Airbnb-om i s Booking.com-om — te tvrdi da posjeduje 4 milijuna e-mailova i 700 GB eksfiltriranih podataka.

Airbnb nije potvrdio nikakav breach. Trenutno se radi o nepotvrđenoj prijetnji, ali kontekst (potvrđeni Booking.com breach u istom periodu, kompromitiran posrednik Guesty) čini situaciju ozbiljnom za svakog tko koristi te platforme.

Izvor: BBC, TechCrunch, Help Net Security, CyberSecurity News

Što ovo znači za vlasnike WordPress stranica

Dva odvojena supply chain napada u istom tjednu otkrivaju strukturalnu slabost WordPress ekosustava: WordPress.org pregledava nove pluginove, ali nema mehanizma za provjeru kad se vlasnik plugina promijeni. Kupnja plugina na Flippi daje commit pristup stotinama tisuća stranica.

Konkretne radnje — odmah

Ako koristite bilo koji Essential Plugin dodatak:

1. Provjerite wp-config.php — tražite neočekivani PHP kod blizu require_once ABSPATH . 'wp-settings.php' linije. Zaražena datoteka raste za ~6 KB.
2. Tražite datoteku wp-comments-posts.php u webrootu — ako postoji, stranica je bila aktivno kompromitirana.
3. Uklonite plugin, očistite datoteke, rotirajte sve administratorske lozinke.

Ako koristite Smart Slider 3 Pro:

1. Provjerite verziju — ako je ikad bila 3.5.1.35, tretirajte stranicu kao kompromitiranu.
2. Tražite skrivene admin korisnike s prefiksom wpsvc_ ili e-mailom [email protected].
3. Provjerite mu-plugins/, theme functions.php i wp-includes/ za backdoor datoteke.
4. Idealno: vratite backup od 5. travnja ili ranije.

Za Booking.com korisnike:

1. Ne odgovarajte na poruke putem WhatsAppa, SMS-a ili e-maila koje traže plaćanje ili podatke o kreditnoj kartici — čak i ako referenciraju točnu rezervaciju.
2. Promijenite lozinku na Booking.com-u.
3. Sve provjeravajte isključivo kroz službenu Booking.com aplikaciju ili web stranicu.
4. Booking.com nikada neće tražiti podatke o kartici telefonom, mailom ili WhatsAppom.

Šira lekcija

Ovo nisu napadi na "tehničke ljude". Essential Plugin pogađa male tvrtke koje su instalirale besplatan countdown timer ili popup. Smart Slider pogađa dizajnere i agencije. Booking.com pogađa obične putnike koji su rezervirali hotel za odmor.

Zajednička nit: povjerenje u platformu nije zamjena za aktivnu zaštitu. Automatski updateovi su važni, ali bez redovitih backupa, monitoringa i plana za incident — jedan kompromitiran update može značiti potpuni gubitak kontrole nad stranicom.

Za male tvrtke koje nemaju interni IT odjel, to je argument za profesionalno upravljanje sigurnošću — jer kad se dogodi ovakav tjedan, pitanje je koliko brzo možete reagirati, a ne možete li uopće.