Pagaron por seguridad y recibieron un virus: desarrolladores de plugins premium de WordPress enviaron código malicioso a sus propios clientes
Versiones gratuitas, más fiables que las comerciales, mantuvieron los datos intactos.
Las actualizaciones oficiales de plugins de WordPress suelen percibirse como una vía segura para correcciones, pero en el caso de ShapedPlugin ese canal entregó versiones infectadas a clientes de pago.
Según Wordfence, los atacantes introdujeron código malicioso en las compilaciones de tres plugins comerciales: Product Slider Pro para WooCommerce, Real Testimonials Pro y Smart Post Show Pro. Las versiones gratuitas en WordPress.org permanecieron limpias, lo que indica un compromiso de la infraestructura de lanzamiento de ShapedPlugin, y no del proyecto en su conjunto.
El ataque comenzó el 21 de mayo, cuando un archivo malicioso LicenseLoader.php se introdujo en las compilaciones Pro. Las primeras quejas de clientes aparecieron el 10 de junio; los especialistas de Wordfence confirmaron la infección el 12 de junio tras descargar archivos desde el sitio del desarrollador, y ShapedPlugin reconoció el incidente el 16 de junio.
El mecanismo funcionaba a través del panel de administración de WordPress. Cuando el administrador accedía a la consola del sitio, el cargador malicioso se conectaba con un servidor de mando y control, descargaba la segunda etapa del ataque e instalaba un plugin falso oculto haciéndose pasar por componentes de WooCommerce. Tras la instalación, el cargador se eliminaba para ocultar las huellas.
El plugin falso intentaba robar inicios de sesión, contraseñas, cookies de sesión, roles de usuarios, datos de autenticación de dos factores, claves de WordPress desde wp-config.php, información sobre administradores, accesos SMTP y datos de pedidos de WooCommerce de los últimos tres meses, incluida la información sobre métodos de pago. Además del robo de datos, la puerta trasera permitía a los operadores escribir archivos de forma remota en los sitios infectados.
El incidente está registrado como CVE-2026-10735, otro número, CVE-2026-49777, se presentó como duplicado. ShapedPlugin declaró que prepara versiones corregidas y las verifica antes de distribuirlas. Wordfence informó que las correcciones están disponibles en Product Slider Pro 3.5.4 y Smart Post Show Pro 4.0.2, y Real Testimonial Pro recibió la versión 3.2.6.
Los administradores de sitios que usen estos plugins de pago deben actualizar los productos afectados, comprobar si existen plugins falsos ocultos woocommerce-subscription y woocommerce-notification, restablecer contraseñas, reemitir los secretos de autenticación de dos factores y revisar la lista de usuarios en busca de cuentas desconocidas.