Volver al inicio

Puerta trasera en plugins de WordPress: C2 en Ethereum

Hacker inyectó puerta trasera en más de 30 plugins de WordPress vía compra en Flippa, usando deserialización de PHP y C2 en contrato de Ethereum para spam SEO. El ataque es resistente a bloqueos, requiere auditoría de wp-config.php y logs. Lista de verificación y medidas de protección para desarrolladores.

Hacker hackeó 30 plugins de WP vía C2 de Ethereum
Advertisement 728x90

Backdoor en 30+ plugins de WordPress: Deserialización PHP y C2 en contrato de Ethereum

Un hacker adquirió más de 30 plugins populares de WordPress a través de la plataforma Flippa, integró un backdoor oculto mediante deserialización de PHP y lo activó ocho meses después para propagar spam SEO. El servidor de comando y control (C2) está disfrazado dentro de un contrato inteligente de Ethereum, lo que lo hace resistente a eliminaciones tradicionales de dominios. Los plugins comprometidos de Essential Plugin (anteriormente WP Online Support) fueron retirados de WordPress.org el 7 de abril de 2026.

Cómo se inyectó el backdoor

El backdoor apareció en el primer commit SVN del nuevo propietario en agosto de 2025. En el archivo class-anylc-admin.php, se añadieron 191 líneas de código bajo la apariencia de verificaciones de compatibilidad con WordPress 6.8.2. Componentes clave:

  • El método fetch_ver_info() obtiene datos de un servidor remoto usando file_get_contents() y aplica @unserialize().
  • El método version_info_clean() ejecuta funciones arbitrarias: el nombre de la función, sus argumentos y la carga útil provienen de la respuesta deserializada.
  • Un punto final de API REST con permission_callback: __return_true — no requiere autenticación.

Se trata de una explotación clásica de llamada a funciones arbitrarias. El backdoor permaneció inactivo durante ocho meses, acumulando instalaciones en silencio para romper vínculos con la propiedad original del desarrollador.

Google AdInline article slot

La activación ocurrió entre el 5 y el 6 de abril de 2026: el módulo wpos-analytics descargó wp-comments-posts.php desde analytics.essentialplugin.com e insertó código PHP en wp-config.php. La carga útil implementa encubrimiento para Googlebot: enlaces de spam, redirecciones y páginas falsas visibles solo para los rastreadores de motores de búsqueda.

C2 resistente gracias a Ethereum

El dominio del C2 no está codificado ni basado en DNS. En cambio, el backdoor consulta puntos finales RPC públicos de Ethereum (Infura, Alchemy) y lee directamente la dirección del servidor desde un contrato inteligente.

Ventajas para el atacante:

Google AdInline article slot
  • Una sola transacción (~$3 en gas) actualiza el dominio para todos los sitios infectados.
  • Las eliminaciones de dominios son inútiles: el contrato vive para siempre en la cadena de bloques.

Desventajas:

  • Las transacciones son públicas, permitiendo monitoreo del contrato.
  • Bloquear el acceso a RPC a nivel de hosting o WAF funciona, pero arriesga interrumpir dApps legítimas.

Compromiso: la descentralización dificulta el cierre, pero simplifica la detección mediante análisis en cadena.

Historia de adquisición y contexto

El negocio, fundado en 2015 (Minesh Shah et al.), rebrandeado como Essential Plugin, operaba más de 30 plugins gratuitos con versiones premium. Sus ingresos cayeron entre un 35% y un 45% hacia finales de 2024 y fue listado en Flippa. El comprador "Kris", con experiencia en SEO, criptomonedas y casinos online, pagó una suma de seis cifras.

Google AdInline article slot

Patrón similar: en 2017, "Daley Tias" compró Display Widgets (200k instalaciones) por $15k y introdujo spam. La escala creció hasta incluir más de 30 plugins con infraestructura avanzada.

Lista completa de plugins comprometidos

WordPress.org los retiró el 7 de abril de 2026. Verifica y elimínalos inmediatamente:

  • Accordion y Slider de Accordion
  • Álbum y Galería de Imágenes Plus Lightbox
  • Reproductor de Audio con Lista de Reproducción Ultimate
  • Diseñador de Blog para Entradas y Widgets
  • Cronómetro de Cuenta Regresiva Ultimate
  • Entrada Destacada Creativa
  • Columnas Mega Grid en Pie de Página
  • Banner Hero Ultimate
  • VideoGallery HTML5 Plus Reproductor
  • Meta Slider y Carrusel con Lightbox
  • Popup en Clic
  • Portafolio y Proyectos
  • Imagen de Categoría de Entrada con Cuadrícula y Carrusel
  • Cuadrícula y Filtro de Entradas Ultimate
  • Preloader para Sitio Web
  • Diseños de Categorías de Productos para WooCommerce
  • FAQ Responsivo de WP con Categorías (sp-faq)
  • SlidersPack — Todos en Uno para Carruseles de Imágenes
  • SP Noticias y Widget
  • Estilos para WP PageNavi — Módulo Adicional
  • Ticker Ultimate
  • Carrusel de Línea de Tiempo e Historia
  • Carrusel y Carrusel de Productos para WooCommerce
  • WP Blog y Widgets
  • WP Contenido Destacado y Carrusel
  • Carrusel y Carrusel Responsive para Logotipos WP
  • Carrusel de Entradas Recientes Responsivo WP
  • WP Slick Slider y Carrusel de Imágenes
  • WP Mostrador de Equipos y Carrusel
  • WP Testimonios con Widget
  • Carrusel y Widget de Entradas Trending WP

Checklist de limpieza

Las actualizaciones forzadas (por ejemplo, 2.6.9.1) solo agregaron return; — el módulo wpos-analytics sigue activo. Actúa ahora:

  • wp plugin list --format=csv — verifica autores (Essential Plugin, WP Online Support).
  • Elimina y reinstala desde fuentes confiables.
  • grep -E "wp-comments-posts|file_get_contents|unserialize" wp-config.php
  • grep -E "0x[a-f0-9]{40}|eth_call|infura|alchemy" wp-config.php
  • Comprueba stat wp-config.php (fecha de modificación).
  • Revisa logs: analytics.essentialplugin.com, actividad RPC de Ethereum de marzo a abril de 2026.
  • Envía tu sitio nuevamente en Search Console tras la limpieza.

Puntos clave:

  • Los backdoors existen en versiones posteriores a agosto de 2025 — el código persiste incluso tras actualizaciones.
  • El C2 en contratos de Ethereum resiste bloqueos DNS — monitorea el uso de RPC.
  • El encubrimiento afecta solo a Googlebot — el sitio parece limpio para usuarios.
  • Los ataques de cadena de suministro escalan vía Flippa sin debida diligencia.
  • El análisis de diferencias de código frente al changelog es obligatorio en entornos de producción.

Protegerse contra ataques de cadena de suministro

WordPress.org debería implementar verificación de mantenedores y comprobaciones automáticas de diferencias SVN. Para desarrolladores intermedios y senior:

  • Automatiza diferencias: si el changelog menciona "compatibilidad" + 191 líneas extra = alerta roja.
  • Reglas de WAF: bloquea llamadas RPC desde endpoints sospechosos.
  • Monitoreo: rastrea transacciones del contrato en cadena y conexiones salientes.

La escala ha crecido: de 9 plugins en 2017 a más de 30 hoy. Audita tus sitios de inmediato.

— Editorial Team

Advertisement 728x90

Leer después