Actores de amenazas desconocidos han secuestrado el sistema de aggiornamento del complemento Smart Slider 3 Pro para WordPress y Joomla para impulsar una lectura envenenada que contiene una puerta trasera.
El incidente afecta a Smart Slider 3 Pro lectura 3.5.1.35 para WordPress, según la empresa de seguridad de WordPress Patchstack. Smart Slider 3 es un popular complemento de control deslizante de WordPress con más de 800.000 instalaciones activas en sus ediciones gratuita y Pro.
“Una parte no autorizada obtuvo entrada a la infraestructura de aggiornamento de Nextend y distribuyó una compilación totalmente escrita por el atacante a través del canal de aggiornamento oficial”, dijo la compañía. “Cualquier sitio que se actualizó a 3.5.1.35 entre su divulgación el 7 de abril de 2026 y su detección aproximadamente 6 horas a posteriori recibió un conjunto de herramientas de entrada remoto completamente armado”.
Nextend, que mantiene el complemento, dijo que una parte no autorizada obtuvo entrada no acreditado a su sistema de aggiornamento e impulsó una lectura maliciosa (3.5.1.35 Pro) que permaneció accesible durante aproximadamente seis horas, antaño de que fuera detectada y retirada.
La aggiornamento troyanizada incluye la capacidad de crear cuentas de administrador fraudulentas, así como puertas traseras que ejecutan comandos del sistema de forma remota a través de encabezados HTTP y ejecutan código PHP caprichoso a través de parámetros de solicitud ocultos. Según Patchstack, el malware viene con las siguientes capacidades:
- Logre la ejecución remota de código autenticado previamente a través de encabezados HTTP personalizados como X-Cache-Status y X-Cache-Key, el posterior de los cuales contiene el código que se pasa a “shell_exec()”.
- Una puerta trasera que admite modos de ejecución dual, lo que permite al atacante ejecutar código PHP y comandos del sistema operante arbitrarios en el servidor.
- Cree una cuenta de administrador oculta (por ejemplo, “wpsvc_a3f1”) para entrada persistente y hágala invisible para los administradores legítimos manipulando los filtros “pre_user_query” y “views_users”.
- Utilice tres opciones personalizadas de WordPress configuradas con la configuración de “carga cibernética” deshabilitada para ceñir su visibilidad en los volcados de opciones: _wpc_ak (una secreto de autenticación secreta), _wpc_uid (ID de becario de la cuenta de administrador oculta) y _wpc_uinfo (JSON codificado en Base64 que contiene el nombre de becario, la contraseña y el correo electrónico en texto plano de la cuenta fraudulenta).
- Instale la persistencia en tres ubicaciones para conquistar demasía: cree un complemento de uso obligatorio con el nombre de archivo “object-cache-helper.php” para que parezca un componente de almacenamiento en gusto permitido, agregue el componente de puerta trasera al archivo “functions.php” del tema activo y suelte un archivo llamado “class-wp-locale-helper.php” en el directorio “wp-includes” de WordPress.
- Exfiltre los datos que contienen la URL del sitio, la secreto secreta de la puerta trasera, el nombre de host, la lectura de Smart Slider 3, la lectura de WordPress y la lectura de PHP, la dirección de correo electrónico del administrador de WordPress, el nombre de la almohadilla de datos de WordPress, el nombre de becario y la contraseña en texto plano de la cuenta del administrador y una inventario de todos los métodos de persistencia instalados en el dominio de comando y control (C2) “wpjs1(.)com”.
“El malware opera en varias etapas, cada una diseñada para avalar un entrada profundo, persistente y redundante al sitio comprometido”, dijo Patchstack.
“La sofisticación de la carga útil es sobresaliente: en ocasión de un simple webshell, el atacante implementó un conjunto de herramientas de persistencia de múltiples capas con varios puntos de reentrada independientes y redundantes, ocultación del becario, ejecución de comandos resistente con cadenas de respaldo y registro C2 necesario con exfiltración completa de credenciales.
Vale la pena señalar que la lectura gratuita del complemento de WordPress no se ve afectada. Para contener el problema, Nextend cerró sus servidores de aggiornamento, eliminó la lectura maliciosa e inició una investigación completa sobre el incidente.
Se recomienda a los usuarios que tengan instalada la lectura troyanizada que actualicen a la lectura 3.5.1.36. Adicionalmente, se recomienda a los usuarios que hayan instalado la lectura no autorizada que realicen los siguientes pasos de ablución:
- Compruebe si hay cuentas de administrador sospechosas o desconocidas y elimínelas.
- Elimine Smart Slider 3 Pro lectura 3.5.1.35 si está instalado.
- Reinstale una lectura limpia del complemento.
- Elimine todos los archivos de persistencia que permitan que la puerta trasera persista en el sitio.
- Elimine las opciones maliciosas de WordPress de la tabla “wp_options”: _wpc_ak, _wpc_uid, _wpc_uinfo, _perf_toolkit_source y wp_page_for_privacy_policy_cache.
- Limpie el archivo “wp-config.php”, incluida la aniquilación de “define(‘WP_CACHE_SALT’, ‘
‘);” si existe. - Elimina la itinerario “#WPCacheSalt
” del archivo “.htaccess” sito en la carpeta raíz de WordPress. - Restablezca las contraseñas de administrador y becario de la almohadilla de datos de WordPress.
- Cambie FTP/SSH y las credenciales de la cuenta de hosting.
- Revise el sitio web y los registros para detectar cambios no autorizados y solicitudes POST inusuales.
- Habilite la autenticación de dos factores (2FA) para administradores y deshabilite la ejecución de PHP en la carpeta de cargas.
“Este incidente es un compromiso clásico de la dependencia de suministro, del tipo que hace que las defensas perimetrales tradicionales sean irrelevantes”, dijo Patchstack. “Las reglas genéricas de firewall, la comprobación no única, los controles de entrada basados en roles, ningún de ellos se aplica cuando el código desconfiado se entrega a través del canal de aggiornamento confiable. El complemento es el malware”.
