- El actor malicioso compró 31 complementos de WordPress de Essential Plugins
- Permite acceso completo al sitio, actualizaciones de inyección de puerta trasera
- Campañas de spam ocultas a los propietarios, resueltas con contratos inteligentes C2 Ethereum
Un hacker compró más de 30 complementos legítimos de WordPress y abusó de su buena reputación para infectar cientos de miles de sitios web con puertas traseras.
Austin Zinder, fundador de Anchor Hosting, informó cómo un cliente lo alertó recientemente sobre un complemento conocido que de repente permitía el acceso de terceros no autorizados. La investigación lo lleva a un descubrimiento un tanto alarmante: una empresa que producía 31 complementos de WordPress, tanto en versiones gratuitas como premium, fue vendida a un hombre que se hacía llamar “Chris” a principios de 2025.
Luego, esa persona agrega código malicioso a todos los complementos y envía activamente la actualización a los sitios web de WordPress.
El artículo continúa a continuación.
Inyección de código avanzada
La empresa maliciosa se llama Essential Plugins y afirma que sus productos se han instalado más de 400.000 veces y están siendo utilizados activamente por más de 15.000 clientes. El repositorio oficial de WordPress muestra más de 20.000 instalaciones activas de WordPress.
El malware era esencialmente una puerta trasera que le daba al atacante acceso completo a los sitios web. El objetivo parece haber promocionado campañas de spam existentes:
“El código de inyección era sofisticado”, explicó Zinder. “Obtuvo enlaces de spam, redirecciones y páginas falsas de un servidor de comando y control. Solo mostró spam al robot de Google, haciéndolo invisible para los propietarios del sitio. Y aquí está la parte más importante. Resolvió su dominio C2 con un contrato inteligente de Ethereum, buscando puntos finales RPC de blockchain públicos que no pueden actualizar dominios. Contratos inteligentes para apuntar a un nuevo dominio en cualquier momento”.
La lista completa de complementos comprometidos se puede encontrar en este enlace. Si está utilizando alguno de estos, sería prudente reemplazarlo con una alternativa más segura. Jinder también comparte un método de parcheo en su blog.
Mientras tanto, WordPress eliminó todos los complementos maliciosos del repositorio.
a través de TechCrunch
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréguenos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
