**Compromiso de Cadena de Suministro Ataca Plugin de WordPress** Actores de amenazas han logrado secuestrar el mecanismo de actualización de **Smart Slider 3 Pro**, un popular plugin para **WordPress** y **Joomla** con más de 800,000 instalaciones activas. Según **Patchstack**, una empresa de seguridad de WordPress, la versión comprometida 3.5.1.35 contenía una puerta trasera, convirtiendo efectivamente el plugin en un kit de herramientas de acceso remoto. "Una parte no autorizada obtuvo acceso a la infraestructura de actualización de **Nextend** y distribuyó una compilación completamente creada por el atacante a través del canal oficial de actualización", informó **Patchstack**. La actualización maliciosa estuvo disponible durante aproximadamente seis horas antes de ser detectada y eliminada. **Detalles Técnicos de la Puerta Trasera** La actualización troyanizada proporcionó a los atacantes capacidades extensas, que incluyen: * Creación de cuentas de administrador no autorizadas. * Ejecución remota de comandos del sistema a través de encabezados HTTP. * Ejecución de código PHP arbitrario a través de parámetros de solicitud ocultos. **Patchstack** detalló las funcionalidades del malware: * Ejecución remota de código pre-autenticada a través de encabezados HTTP personalizados (por ejemplo, `X-Cache-Status` y `X-Cache-Key`). * Una puerta trasera de modo de doble ejecución que permite la ejecución de código PHP arbitrario y comandos del sistema operativo. * Creación de una cuenta de administrador oculta (por ejemplo, `wpsvc_a3f1`) disfrazada de administradores legítimos. * Ocultamiento de datos sensibles utilizando opciones personalizadas de WordPress con carga automática deshabilitada. * Mecanismos de persistencia redundantes, incluido un plugin de uso obligatorio (`object-cache-helper.php`), la adición de código al archivo `functions.php` del tema activo y la colocación de un archivo llamado `class-wp-locale-helper.php` en el directorio `wp-includes` de WordPress. * Exfiltración de datos de información sensible al dominio de comando y control (C2) `wpjs1[.]com`. **Impacto y Mitigación** **Patchstack** enfatizó la sofisticación del ataque: "El malware opera en varias etapas, cada una diseñada para garantizar un acceso profundo, persistente y redundante al sitio comprometido". La versión gratuita de **Smart Slider 3** no se vio afectada. **Nextend** ha cerrado sus servidores de actualización, ha eliminado la versión maliciosa y ha iniciado una investigación completa. Se insta a los usuarios que instalaron la versión 3.5.1.35 a actualizar a la versión 3.5.1.36 inmediatamente y realizar los siguientes pasos de limpieza: * Verificar y eliminar cualquier cuenta de administrador sospechosa. * Eliminar **Smart Slider 3 Pro** versión 3.5.1.35 si está instalada. * Reinstalar una versión limpia del plugin. * Eliminar todos los archivos de persistencia asociados con la puerta trasera. * Eliminar opciones maliciosas de WordPress de la tabla `wp_options`: `_wpc_ak`, `_wpc_uid`, `_wpc_uinfo`, `_perf_toolkit_source`, y `wp_page_for_privacy_policy_cache`. * Limpiar el archivo `wp-config.php`, eliminando `define('WP_CACHE_SALT', '<token>');` si está presente. * Eliminar la línea `# WPCacheSalt <token>` del archivo `.htaccess`. * Restablecer las contraseñas de administrador y de usuario de la base de datos de WordPress. * Cambiar las credenciales de las cuentas FTP/SSH y de hosting. * Revisar los registros del sitio web en busca de cambios no autorizados y solicitudes POST inusuales. * Habilitar la autenticación de dos factores (2FA) para administradores y deshabilitar la ejecución de PHP en la carpeta de subidas. **Implicaciones de Ataques a la Cadena de Suministro** **Patchstack** concluyó: "Este incidente es un ejemplo clásico de compromiso de la cadena de suministro, del tipo que vuelve irrelevantes las defensas perimetrales tradicionales... El plugin es el malware."