Compraron la versión premium y les regalaron un hackeo: la historia de una «actualización segura» de un plugin popular
Analizamos cómo un intermediario invisible se hizo con las riendas del poder sin que saltara ninguna alarma.
La actualización de un complemento en el que confiaban cientos de miles de sitios resultó ser un ataque encubierto: los atacantes se infiltraron en la infraestructura interna del desarrollador y sustituyeron la compilación oficial por su versión maliciosa. Todo esto ocurrió sin ser detectado, y el archivo infectado se comportaba como un complemento funcional, sin despertar sospechas.
El 7 de abril de 2026 la empresa Nextend lanzó una versión actualizada de su complemento de pago Smart Slider 3 Pro para WordPress, con la versión 3.5.1.35. El problema es que para entonces ya habían interferido terceros en el canal oficial de actualizaciones. Durante aproximadamente seis horas la compilación infectada se distribuyó a través del servidor de actualizaciones habitual, tras lo cual la amenaza fue detectada y retirada.
La propia Nextend confirmó el hecho de la intrusión en su infraestructura. Cualquier sitio que instaló esta actualización no recibió una nueva versión del complemento, sino un conjunto completo de herramientas para acceso remoto. La versión gratuita del complemento, distribuida a través del repositorio oficial de WordPress, no resultó afectada.
Los especialistas de la empresa Patchstack analizaron el código malicioso por partes. Los atacantes recortaron del archivo PHP principal del complemento parte del código legítimo e insertaron una puerta trasera multinivel, conservando al mismo tiempo la lógica de carga del complemento.
El primer nivel del ataque se activaba en cada acceso al sitio, incluso sin autenticación. Si la solicitud entrante contenía un encabezado HTTP especial con un valor fijo, el servidor ejecutaba inmediatamente el comando transmitido a través de un intérprete de comandos. Para enmascararlo se utilizaron nombres de encabezados característicos de servicios CDN y proxies, de modo que el tráfico no pareciera sospechoso.
El segundo nivel funcionaba mediante un parámetro GET con una clave secreta y permitía ejecutar tanto código PHP arbitrario como comandos del sistema. En caso de que algunas funciones estuvieran bloqueadas por la configuración del servidor, el código malicioso intentaba seis métodos distintos para invocar el intérprete de comandos consecutivamente.
Paralelamente se creaba una cuenta de administrador oculta con un nombre del tipo wpsvc_xxxx y la dirección de correo electrónico kiziltxt2@gmail[.]com. La cuenta recibía el nombre para mostrar «WordPress Service» para mezclarse con los procesos del sistema. Desde la interfaz de administrador estaba intencionadamente oculta: filtros especiales la eliminaban de la lista de usuarios y ajustaban los contadores de roles para que las cifras no suscitaran preguntas.
Incluso eliminar el propio complemento no eliminaba la amenaza. El malware se copiaba previamente a tres ubicaciones adicionales: la carpeta de complementos obligatorios mu-plugins, el archivo functions.php de la plantilla activa y el directorio del núcleo de WordPress wp-includes con apariencia de clase del sistema. La última copia funcionaba independientemente de la base de datos y sobrevivía incluso al cambiar sus credenciales.
Al final, el código malicioso enviaba a un servidor externo wpjs1.com un paquete completo de datos sobre el sitio infectado: la dirección, las versiones del software utilizado, el correo electrónico del administrador, el nombre de la base de datos, así como el usuario y la contraseña de la cuenta oculta creada en texto claro.
Nextend publicó la versión limpia 3.5.1.36 y publicó instrucciones para limpiar los sitios infectados. A todos los que instalaron la versión 3.5.1.35 se les recomienda considerar el sitio completamente comprometido y realizar una revisión completa.