Backdoor en 30+ plugins de WordPress: Deserialización PHP y C2 en contrato de Ethereum
Un hacker adquirió más de 30 plugins populares de WordPress a través de la plataforma Flippa, integró un backdoor oculto mediante deserialización de PHP y lo activó ocho meses después para propagar spam SEO. El servidor de comando y control (C2) está disfrazado dentro de un contrato inteligente de Ethereum, lo que lo hace resistente a eliminaciones tradicionales de dominios. Los plugins comprometidos de Essential Plugin (anteriormente WP Online Support) fueron retirados de WordPress.org el 7 de abril de 2026.
Cómo se inyectó el backdoor
El backdoor apareció en el primer commit SVN del nuevo propietario en agosto de 2025. En el archivo class-anylc-admin.php, se añadieron 191 líneas de código bajo la apariencia de verificaciones de compatibilidad con WordPress 6.8.2. Componentes clave:
- El método
fetch_ver_info()obtiene datos de un servidor remoto usandofile_get_contents()y aplica@unserialize(). - El método
version_info_clean()ejecuta funciones arbitrarias: el nombre de la función, sus argumentos y la carga útil provienen de la respuesta deserializada. - Un punto final de API REST con
permission_callback: __return_true— no requiere autenticación.
Se trata de una explotación clásica de llamada a funciones arbitrarias. El backdoor permaneció inactivo durante ocho meses, acumulando instalaciones en silencio para romper vínculos con la propiedad original del desarrollador.
La activación ocurrió entre el 5 y el 6 de abril de 2026: el módulo wpos-analytics descargó wp-comments-posts.php desde analytics.essentialplugin.com e insertó código PHP en wp-config.php. La carga útil implementa encubrimiento para Googlebot: enlaces de spam, redirecciones y páginas falsas visibles solo para los rastreadores de motores de búsqueda.
C2 resistente gracias a Ethereum
El dominio del C2 no está codificado ni basado en DNS. En cambio, el backdoor consulta puntos finales RPC públicos de Ethereum (Infura, Alchemy) y lee directamente la dirección del servidor desde un contrato inteligente.
Ventajas para el atacante:
- Una sola transacción (~$3 en gas) actualiza el dominio para todos los sitios infectados.
- Las eliminaciones de dominios son inútiles: el contrato vive para siempre en la cadena de bloques.
Desventajas:
- Las transacciones son públicas, permitiendo monitoreo del contrato.
- Bloquear el acceso a RPC a nivel de hosting o WAF funciona, pero arriesga interrumpir dApps legítimas.
Compromiso: la descentralización dificulta el cierre, pero simplifica la detección mediante análisis en cadena.
Historia de adquisición y contexto
El negocio, fundado en 2015 (Minesh Shah et al.), rebrandeado como Essential Plugin, operaba más de 30 plugins gratuitos con versiones premium. Sus ingresos cayeron entre un 35% y un 45% hacia finales de 2024 y fue listado en Flippa. El comprador "Kris", con experiencia en SEO, criptomonedas y casinos online, pagó una suma de seis cifras.
Patrón similar: en 2017, "Daley Tias" compró Display Widgets (200k instalaciones) por $15k y introdujo spam. La escala creció hasta incluir más de 30 plugins con infraestructura avanzada.
Lista completa de plugins comprometidos
WordPress.org los retiró el 7 de abril de 2026. Verifica y elimínalos inmediatamente:
- Accordion y Slider de Accordion
- Álbum y Galería de Imágenes Plus Lightbox
- Reproductor de Audio con Lista de Reproducción Ultimate
- Diseñador de Blog para Entradas y Widgets
- Cronómetro de Cuenta Regresiva Ultimate
- Entrada Destacada Creativa
- Columnas Mega Grid en Pie de Página
- Banner Hero Ultimate
- VideoGallery HTML5 Plus Reproductor
- Meta Slider y Carrusel con Lightbox
- Popup en Clic
- Portafolio y Proyectos
- Imagen de Categoría de Entrada con Cuadrícula y Carrusel
- Cuadrícula y Filtro de Entradas Ultimate
- Preloader para Sitio Web
- Diseños de Categorías de Productos para WooCommerce
- FAQ Responsivo de WP con Categorías (sp-faq)
- SlidersPack — Todos en Uno para Carruseles de Imágenes
- SP Noticias y Widget
- Estilos para WP PageNavi — Módulo Adicional
- Ticker Ultimate
- Carrusel de Línea de Tiempo e Historia
- Carrusel y Carrusel de Productos para WooCommerce
- WP Blog y Widgets
- WP Contenido Destacado y Carrusel
- Carrusel y Carrusel Responsive para Logotipos WP
- Carrusel de Entradas Recientes Responsivo WP
- WP Slick Slider y Carrusel de Imágenes
- WP Mostrador de Equipos y Carrusel
- WP Testimonios con Widget
- Carrusel y Widget de Entradas Trending WP
Checklist de limpieza
Las actualizaciones forzadas (por ejemplo, 2.6.9.1) solo agregaron return; — el módulo wpos-analytics sigue activo. Actúa ahora:
wp plugin list --format=csv— verifica autores (Essential Plugin, WP Online Support).- Elimina y reinstala desde fuentes confiables.
grep -E "wp-comments-posts|file_get_contents|unserialize" wp-config.phpgrep -E "0x[a-f0-9]{40}|eth_call|infura|alchemy" wp-config.php- Comprueba
stat wp-config.php(fecha de modificación). - Revisa logs:
analytics.essentialplugin.com, actividad RPC de Ethereum de marzo a abril de 2026. - Envía tu sitio nuevamente en Search Console tras la limpieza.
Puntos clave:
- Los backdoors existen en versiones posteriores a agosto de 2025 — el código persiste incluso tras actualizaciones.
- El C2 en contratos de Ethereum resiste bloqueos DNS — monitorea el uso de RPC.
- El encubrimiento afecta solo a Googlebot — el sitio parece limpio para usuarios.
- Los ataques de cadena de suministro escalan vía Flippa sin debida diligencia.
- El análisis de diferencias de código frente al changelog es obligatorio en entornos de producción.
Protegerse contra ataques de cadena de suministro
WordPress.org debería implementar verificación de mantenedores y comprobaciones automáticas de diferencias SVN. Para desarrolladores intermedios y senior:
- Automatiza diferencias: si el changelog menciona "compatibilidad" + 191 líneas extra = alerta roja.
- Reglas de WAF: bloquea llamadas RPC desde endpoints sospechosos.
- Monitoreo: rastrea transacciones del contrato en cadena y conexiones salientes.
La escala ha crecido: de 9 plugins en 2017 a más de 30 hoy. Audita tus sitios de inmediato.
— Editorial Team
Aún no hay comentarios.