Varios complementos de WordPress de ShapedPlugin se vieron comprometidos en un ataque a la cadena de suministro después de que actores de amenazas desconocidos lograron alterar los canales de lanzamiento oficiales y enviar código de puerta trasera.
“Los atacantes comprometieron el proceso de construcción y distribución del proveedor, inyectando código de puerta trasera en las versiones de complementos Pro distribuidos a través de canales de actualización con licencia oficial”, dijo Wordfence en un análisis publicado la semana pasada.
El incidente afecta a los siguientes complementos:
- Product Slider Pro para WooCommerce (versiones anteriores a 3.5.4)
- Testimonios reales Pro (versión 3.2.5)
- Smart Post Show Pro (versiones anteriores a 4.0.2)
Como se mencionó anteriormente, vale la pena enfatizar que el compromiso solo afecta a las compilaciones de complementos Pro distribuidas a través de la infraestructura Easy Digital Downloads (EDD) del proveedor a través de account.Shapedplugin(.)com. Las versiones gratuitas de los complementos en WordPress.org no se ven afectadas.
Al compromiso de la cadena de suministro asociado con Product Slider Pro para WooCommerce se le asignó el identificador CVE CVE-2026-49777, junto con una puntuación CVSS de 10.0, lo que indica la gravedad máxima. CVE-2026-10735 (puntuación CVSS: 9,8) es el identificador CVE para todo el incidente.
La compañía de seguridad de WordPress dijo que las versiones comprometidas de los complementos incorporan un cargador que se activa en cada página de administración, lo que hace que obtenga una carga útil de un servidor remoto (“194.76.217(.)28:2871”), la instale y la active como un complemento falso.
Una vez activado, el malware informa el dominio de la víctima al servidor y se borra para cubrir las huellas y complicar los esfuerzos de respuesta a incidentes. El complemento falsificado, por su parte, se oculta de la lista de complementos de administración de WordPress y es capaz de capturar credenciales en texto sin formato y códigos de autenticación de dos factores (2FA).
También establece múltiples métodos de persistencia que permiten escrituras de archivos arbitrarios a través de un punto final REST personalizado cuando se proporciona un token de autenticación específico, además de eliminar un shell web con funciones de ejecución de comandos. Por último, utiliza un archivo PHP llamado “install-persistent.php”, que se incluye como parte del complemento, para extraer los siguientes datos:
- Contenido completo de wp-config.php, incluidas las credenciales de la base de datos, las claves de autenticación y la configuración de depuración.
- Todas las cuentas de administrador con fechas de registro
- Credenciales del complemento de correo de WP Mail SMTP, Post SMTP y Easy WP SMTP
- Datos de pedidos de WooCommerce de los últimos 3 meses con desglose del método de pago
Una vez que se muestra esta información, el archivo se elimina. La evidencia indica que el ataque podría comprometer el proceso de construcción, en lugar de un envenenamiento directo de los paquetes.
Lo que es particularmente peligroso de este ataque es que expone a los propietarios de sitios que compraron licencias legítimas e instalaron actualizaciones directamente desde el sistema de actualización oficial del proveedor al malware.
Al ser notificado del problema, ShapedPlugin confirmó el incidente y agregó que está revisando los procesos de distribución y lanzamiento para garantizar la integridad de sus productos en el futuro. Se espera que se publiquen nuevas versiones de los complementos afectados en espera de revisiones de seguridad exhaustivas y pruebas de validación.
Se recomienda a los propietarios de sitios que hayan instalado las versiones maliciosas que restablezcan todas las contraseñas, revoquen y regeneren los secretos 2FA para todos los usuarios, revisen las cuentas de administrador en busca de adiciones no autorizadas y verifiquen las configuraciones de complementos de correo para detectar credenciales SMTP modificadas.
