7 Nisan 2026'da Nextend'in resmi güncelleme altyapısı ele geçirildi. Saldırganlar Smart Slider 3 Pro 3.5.1.35 sürümünü tam donanımlı bir uzaktan erişim paketi olarak dağıttı. Bu sürüm yaklaşık
6 saat boyunca resmi kanaldan indirildi ve temiz sürüm 3.5.1.36 yayımlanana kadar güncelleme yapan tüm siteler tehlikeye girdi.
Zararlı yetenekler: (1) X-Cache-Status ve X-Cache-Key gibi özel HTTP header'ları üzerinden kimlik doğrulamasız RCE. (2) Gizli PHP kod çalıştırma backdoor. (3)
wpsvc_* önekiyle başlayan ve admin arayüzünden gizlenen sahte admin hesabı oluşturma (e-posta:
[email protected]). (4) Kimlik bilgisi ve site verisi harici sunucuya sızdırma.
Joomla sürümü de aynı altyapı üzerinden enfekte oldu. Bu saldırı, Axios ve CPUID vakaları ile birlikte
üçüncü büyük supply chain olayı — resmi güncelleme kanallarına duyulan güven artık sorgulanabilir.