Un hacker compró 30 plugins de WordPress e insertó puertas traseras, permaneció oculto durante 8 meses y utilizó contratos inteligentes de Ethereum para eludir el bloqueo de dominios

En agosto de 2025, un comprador que se hacía llamar «Kris» sembró una bomba de tiempo dentro de 191 líneas de código; ocho meses después, explotó, y las comunicaciones C2 eludieron el bloqueo. Este artículo se origina en el informe de la investigadora de seguridad Austin Ginder.
(Antecedentes: ¡BTC impulsa 75.000 dólares! ETH se recupera a 2400; Varz afirma que en las negociaciones entre Estados Unidos e Irán hay «muchos avances», y se fija una segunda ronda para el día 16)
(Información de contexto: carta pública del fundador de Gate, Dr. Han, por su 13.º aniversario: en la transición de ciclo, liberar la fuerza del cambio)

Índice del artículo

Toggle

• 191 líneas, una frase «actualización de compatibilidad»
• wp-config.php recibe una escritura de 6KB de código malicioso
• No es la primera vez, y no será la última
• Problemas de sistema, no de tecnología
• WordPress.org cerró más de 30 complementos en un solo día

Treinta complementos, un período de latencia de ocho meses, y servidores C2 actualizados dinámicamente mediante contratos inteligentes de Ethereum. a principios de abril de 2026, WordPress.org desactivó más de 30 complementos en un único día laborable, con un total de millones de instalaciones. Y lo más sorprendente es que la puerta trasera ya estaba en funcionamiento desde el 8 de agosto de 2025, con una diferencia de 243 días completos hasta que fue detectada.

191 líneas, una frase «actualización de compatibilidad»

Vayamos atrás en el tiempo hasta 2015. El equipo de la India WP Online Support (luego rebautizado como Essential Plugin), fundado por tres personas, entre ellas Minesh Shah. Durante una década, acumularon una línea de productos que abarca más de 30 complementos. A finales de 2024, los ingresos ya habían caído entre 35% y 45% respecto a su punto más alto, y el equipo decidió ponerlo en venta en Flippa.

El comprador es alguien cuyo historial abarca marketing de SEO, criptomonedas y juegos de azar en línea, y que hacia afuera se presenta como «Kris». El 8 de agosto de 2025 se lanzó la versión 2.6.7, y el changelog solo escribió cuatro palabras: «actualización de compatibilidad».

El cambio real es este: class-anylc-admin.php pasó de 473 líneas a 664 líneas, añadiendo 191 líneas de código de puerta trasera. Este es el primer commit de Kris en el SVN.

La puerta trasera no se activó de inmediato. Entró en modo de espera hasta el 5 y 6 de abril de 2026, cuando comenzó la primera fase: el módulo wpos-analytics envió una solicitud de callback a analytics.essentialplugin.com y descargó un archivo con el nombre wp-comments-posts.php. Imitaba intencionalmente al wp-comments-post.php del núcleo de WordPress, con una letra menos.

wp-config.php recibe una escritura de 6KB de código malicioso

El 6 de abril de 2026 a las 04:22 UTC, la inyección inició su ejecución; a las 11:06 UTC, wp-config.php ya se había escrito por completo en los sitios víctimas a nivel global. En 6 horas y 44 minutos, no se activó ninguna alerta a nivel de plataforma.

El código malicioso inyectado hace dos cosas: primero, incrusta enlaces externos de spam, pero solo se muestran en el User-Agent de Googlebot; los visitantes generales y los administradores del sitio ven páginas completamente normales; segundo, abre un endpoint REST API sin autenticar (permission_callback: __return_true), junto con la función de PHP para deserializar fetch_ver_info(), formando una ruta de ejecución remota para llamadas arbitrarias de funciones.

Sin embargo, el detalle de diseño más digno de registro no está en la inyección en sí, sino en el mecanismo de evasión de la infraestructura C2: los atacantes escriben la lógica de resolución del dominio del controlador en un contrato inteligente de Ethereum; la puerta trasera consulta el destino más reciente a través de nodos RPC de la cadena de bloques pública.

Las listas negras tradicionales de seguridad, o el bloqueo DNS, no sirven para esta arquitectura. Los atacantes solo necesitan actualizar el contrato: la C2 de todos los sitios infectados del mundo cambia de forma sincronizada, sin necesidad de tocar ningún servidor controlado.

No es la primera vez, y no será la última vez

En 2017, Daley Tias compró el complemento Display Widgets con 200.000 instalaciones por 15.000 dólares, insertando enlaces basura del tipo de préstamo; después, al menos 9 complementos más se vieron afectados. Tras aquel incidente, WordPress.org no lanzó un mecanismo de revisión obligatoria para transferencias de propiedad de complementos; no activó una revisión adicional manual o automatizada cuando el nuevo committer hizo su primer envío; y tampoco envió una notificación a los usuarios existentes que usaban instalaciones indicando «el complemento ya tiene nuevo dueño».

Nueve años después, el proceso es idéntico. Kris completa la adquisición, obtiene permisos para enviar al SVN y su primer commit es la puerta trasera; todo, con cumplimiento.

Problemas de sistema, no de tecnología

Este incidente no utilizó ninguna vulnerabilidad zero-day. La calidad del código de la puerta trasera es mediocre; dentro de esas 191 líneas no hay ninguna técnica sofisticada de ofuscación. Puede permanecer oculto durante 243 días, y no se basa en capacidades técnicas, sino en la ausencia total de esa pieza del proceso en el mercado de complementos de WordPress.org, en el cambio de propiedad.

Analizar el dominio C2 mediante un contrato inteligente de Ethereum sí añade, en términos técnicos, una capa de diseño que merece debate; pero eso solo hace más difícil la tarea de limpieza, no es la causa de que el ataque ocurra. El ataque puede ocurrir porque la plataforma permite que cualquiera compre un complemento, envíe actualizaciones y no tenga que explicar a nadie con qué se vuelve «compatible» el «actualización de compatibilidad» que figura en el changelog.

WordPress.org cerró más de 30 complementos en un solo día

El 7 de abril de 2026, el equipo de complementos de WordPress.org cerró de forma permanente todos los complementos del autor de Essential Plugin. Al menos 30 complementos, todos cerrados el mismo día. Los complementos confirmados por Austin Ginder son los siguientes:

• Accordion and Accordion Slider — accordion-and-accordion-slider
• Album and Image Gallery Plus Lightbox — album-and-image-gallery-plus-lightbox
• Audio Player with Playlist Ultimate — audio-player-with-playlist-ultimate
• Blog Designer for Post and Widget — blog-designer-for-post-and-widget
• Countdown Timer Ultimate — countdown-timer-ultimate
• Featured Post Creative — featured-post-creative
• Footer Mega Grid Columns — footer-mega-grid-columns
• Hero Banner Ultimate — hero-banner-ultimate
• HTML5 VideoGallery Plus Player — html5-videogallery-plus-player
• Meta Slider and Carousel with Lightbox — meta-slider-and-carousel-with-lightbox
• Popup Anything on Click — popup-anything-on-click
• Portfolio and Projects — portfolio-and-projects
• Post Category Image with Grid and Slider — post-category-image-with-grid-and-slider
• Post Grid and Filter Ultimate — post-grid-and-filter-ultimate
• Preloader for Website — preloader-for-website
• Product Categories Designs for WooCommerce — product-categories-designs-for-woocommerce
• Responsive WP FAQ with Category — sp-faq
• SlidersPack – All in One Image Sliders — sliderspack-all-in-one-image-sliders
• SP News And Widget — sp-news-and-widget
• Styles for WP PageNavi – Addon — styles-for-wp-pagenavi-addon
• Ticker Ultimate — ticker-ultimate
• Timeline and History Slider — timeline-and-history-slider
• Woo Product Slider and Carousel with Category — woo-product-slider-and-carousel-with-category
• WP Blog and Widgets — wp-blog-and-widgets
• WP Featured Content and Slider — wp-featured-content-and-slider
• WP Logo Showcase Responsive Slider and Carousel — wp-logo-showcase-responsive-slider-slider
• WP Responsive Recent Post Slider — wp-responsive-recent-post-slider
• WP Slick Slider and Image Carousel — wp-slick-slider-and-image-carousel
• WP Team Showcase and Slider — wp-team-showcase-and-slider
• WP Testimonial with Widget — wp-testimonial-with-widget
• WP Trending Post Slider and Widget — wp-trending-post-slider-and-widget