Un ataque masivo de cadena de suministro ha comprometido más de 30 plugins de WordPress tras la adquisición de alto coste de una popular cartera de complementos. La brecha, descubierta en abril de 202, revela un esfuerzo coordinado para implantar puertas traseras en software de confianza meses antes de su activación.
Investigadores de seguridad de CaptainCore identificaron la vulnerabilidad después de que un cliente reportara una alerta de seguridad en el panel de control de WordPress. El aviso, emitido por el equipo de plugins de WordPress.org, advertía que el plugin "Countdown Timer Ultimate" contenía código que permitía el acceso no autorizado de terceros.
La investigación revela que el atacante utilizó una técnica de deserialización de PHP para lograr la ejecución remota de código. El código malicioso se introdujo en la versión 2.6.7 del plugin, lanzada el 8 de agosto de 2025. La puerta trasera permaneció latente en el software durante aproximadamente ocho meses antes de ser utilizada con fines maliciosos.
Comando y control basado en blockchain
El ataque empleó un sofisticado mecanismo de comando y control (C2) diseñado para evadir las medidas de seguridad tradicionales. El módulo de analíticas del plugin realizaba una conexión remota ("phone home") con un servidor para descargar un archivo de puerta trasera camuflado como un archivo legítimo del núcleo de WordPress.
Una vez activo, el malware inyectó código en el archivo wp-config.php. Este bloque de código recuperaba enlaces de spam y redirecciones dirigidas específicamente a Googlebot, lo que hacía que la actividad maliciosa fuera invisible para los administradores del sitio. Para evitar la revocación de dominios, el atacante resolvió el dominio de C2 mediante un contrato inteligente de Ethereum, consultando puntos de acceso (endpoints) públicos de la blockchain.
"Las medidas tradicionales de revocación de dominios no serían efectivas, ya que el atacante podría actualizar el contrato inteligente para apuntar a un nuevo dominio en cualquier momento", según los hallazgos de la auditoría de seguridad.
La brecha se produjo tras la venta de la cartera "Essential Plugin" en el mercado Flippa. Los desarrolladores originales, un equipo conocido como WP Online Support, pusieron el negocio a la venta a finales de 2024 tras una disminución de sus ingresos. Un comprador no identificado, bajo el alias "Kris", adquirió la colección de 30 plugins por una suma de seis cifras a principios de 2025.
Tras la adquisición, se modificaron los encabezados de autor de los plugins y se lanzaron actualizaciones maliciosas bajo la nueva cuenta "essentialplugin". Aunque WordPress.org ha forzado desde entonces la actualización de los plugins afectados para neutralizar el mecanismo de conexión remota, los investigadores descubrieron que la inyección inicial en el archivo wp-config.php seguía activa en algunos sistemas.
