Actores de amenazas desconocidos han secuestrado el sistema de actualización del complemento Smart Slider 3 Pro para WordPress y Joomla para impulsar una versión envenenada que contiene una puerta trasera.
El incidente afecta a Smart Slider 3 Pro versión 3.5.1.35 para WordPress, según la empresa de seguridad de WordPress Patchstack. Smart Slider 3 es un popular complemento de control deslizante de WordPress con más de 800.000 instalaciones activas en sus ediciones gratuita y Pro.
“Una parte no autorizada obtuvo acceso a la infraestructura de actualización de Nextend y distribuyó una compilación totalmente escrita por el atacante a través del canal de actualización oficial”, dijo la compañía. “Cualquier sitio que se actualizó a 3.5.1.35 entre su lanzamiento el 7 de abril de 2026 y su detección aproximadamente 6 horas después recibió un conjunto de herramientas de acceso remoto completamente armado”.
Nextend, que mantiene el complemento, dijo que una parte no autorizada obtuvo acceso no autorizado a su sistema de actualización e impulsó una versión maliciosa (3.5.1.35 Pro) que permaneció accesible durante aproximadamente seis horas, antes de que fuera detectada y retirada.
La actualización troyanizada incluye la capacidad de crear cuentas de administrador fraudulentas, así como puertas traseras que ejecutan comandos del sistema de forma remota a través de encabezados HTTP y ejecutan código PHP arbitrario a través de parámetros de solicitud ocultos. Según Patchstack, el malware viene con las siguientes capacidades:
- Logre la ejecución remota de código autenticado previamente a través de encabezados HTTP personalizados como X-Cache-Status y X-Cache-Key, el último de los cuales contiene el código que se pasa a “shell_exec()”.
- Una puerta trasera que admite modos de ejecución dual, lo que permite al atacante ejecutar código PHP y comandos del sistema operativo arbitrarios en el servidor.
- Cree una cuenta de administrador oculta (por ejemplo, “wpsvc_a3f1”) para acceso persistente y hágala invisible para los administradores legítimos manipulando los filtros “pre_user_query” y “views_users”.
- Utilice tres opciones personalizadas de WordPress configuradas con la configuración de “carga automática” deshabilitada para reducir su visibilidad en los volcados de opciones: _wpc_ak (una clave de autenticación secreta), _wpc_uid (ID de usuario de la cuenta de administrador oculta) y _wpc_uinfo (JSON codificado en Base64 que contiene el nombre de usuario, la contraseña y el correo electrónico en texto plano de la cuenta fraudulenta).
- Instale la persistencia en tres ubicaciones para lograr redundancia: cree un complemento de uso obligatorio con el nombre de archivo “object-cache-helper.php” para que parezca un componente de almacenamiento en caché legítimo, agregue el componente de puerta trasera al archivo “functions.php” del tema activo y suelte un archivo llamado “class-wp-locale-helper.php” en el directorio “wp-includes” de WordPress.
- Exfiltre los datos que contienen la URL del sitio, la clave secreta de la puerta trasera, el nombre de host, la versión de Smart Slider 3, la versión de WordPress y la versión de PHP, la dirección de correo electrónico del administrador de WordPress, el nombre de la base de datos de WordPress, el nombre de usuario y la contraseña en texto plano de la cuenta del administrador y una lista de todos los métodos de persistencia instalados en el dominio de comando y control (C2) “wpjs1(.)com”.
“El malware opera en varias etapas, cada una diseñada para garantizar un acceso profundo, persistente y redundante al sitio comprometido”, dijo Patchstack.
“La sofisticación de la carga útil es notable: en lugar de un simple webshell, el atacante implementó un conjunto de herramientas de persistencia de múltiples capas con varios puntos de reentrada independientes y redundantes, ocultación del usuario, ejecución de comandos resistente con cadenas de respaldo y registro C2 automático con exfiltración completa de credenciales.
Vale la pena señalar que la versión gratuita del complemento de WordPress no se ve afectada. Para contener el problema, Nextend cerró sus servidores de actualización, eliminó la versión maliciosa e inició una investigación completa sobre el incidente.
Se recomienda a los usuarios que tengan instalada la versión troyanizada que actualicen a la versión 3.5.1.36. Además, se recomienda a los usuarios que hayan instalado la versión no autorizada que realicen los siguientes pasos de limpieza:
- Compruebe si hay cuentas de administrador sospechosas o desconocidas y elimínelas.
- Elimine Smart Slider 3 Pro versión 3.5.1.35 si está instalado.
- Reinstale una versión limpia del complemento.
- Elimine todos los archivos de persistencia que permitan que la puerta trasera persista en el sitio.
- Elimine las opciones maliciosas de WordPress de la tabla “wp_options”: _wpc_ak, _wpc_uid, _wpc_uinfo, _perf_toolkit_source y wp_page_for_privacy_policy_cache.
- Limpie el archivo “wp-config.php”, incluida la eliminación de “define(‘WP_CACHE_SALT’, ‘
‘);” si existe. - Elimina la línea “#WPCacheSalt
” del archivo “.htaccess” ubicado en la carpeta raíz de WordPress. - Restablezca las contraseñas de administrador y usuario de la base de datos de WordPress.
- Cambie FTP/SSH y las credenciales de la cuenta de hosting.
- Revise el sitio web y los registros para detectar cambios no autorizados y solicitudes POST inusuales.
- Habilite la autenticación de dos factores (2FA) para administradores y deshabilite la ejecución de PHP en la carpeta de cargas.
“Este incidente es un compromiso clásico de la cadena de suministro, del tipo que hace que las defensas perimetrales tradicionales sean irrelevantes”, dijo Patchstack. “Las reglas genéricas de firewall, la verificación no única, los controles de acceso basados en roles, ninguno de ellos se aplica cuando el código malicioso se entrega a través del canal de actualización confiable. El complemento es el malware”.
