Un atacante comprometió la infraestructura de actualizaciones de Nextend y distribuyó una versión maliciosa del plugin con ejecución remota de comandos, usuarios ocultos y múltiples capas de persistencia.
Nextend confirmó el 7 de abril de 2026 que un actor no autorizado accedió a su infraestructura de actualizaciones y distribuyó una versión maliciosa de Smart Slider 3 Pro. La versión comprometida 3.5.1.35 estuvo disponible durante aproximadamente 6 horas antes de ser detectada y retirada del servidor de distribución.
Con más de 800,000 instalaciones activas del plugin entre sus versiones gratuita y Pro, el ataque de supply chain representa uno de los incidentes más graves recientes en el ecosistema WordPress, ya que cada sitio que actualizó durante esa ventana instaló voluntariamente el backdoor al confiar en el canal oficial.
Según el análisis técnico publicado por Patchstack, el malware inyectado es un toolkit de acceso remoto completamente funcional que opera en múltiples etapas. El código malicioso se ejecuta desde el primer bloque inyectado fuera de cualquier hook de WordPress, lo que significa que se activa en cada carga de página, incluido el frontend.
Este bloque permite ejecución remota de comandos sin autenticación a través de headers HTTP personalizados — X-Cache-Status con el valor nw9xQmK4 y X-Cache-Key con el comando codificado en base64. Los headers usan nombres genéricos relacionados con caché para evadir detección y mezclarse con tráfico legítimo de CDN o proxy inverso.
El backdoor principal registra una acción init que se activa cuando una petición incluye el parámetro GET _chk coincidiendo con una clave secreta almacenada en la opción WordPress _wpc_ak. Soporta dos modos de ejecución controlados por el parámetro m: modo PHP (m=php), que decodifica y ejecuta código arbitrario vía eval() y modo shell, que permite comandos del sistema operativo.
La persistencia se logra mediante múltiples vectores redundantes: creación de un usuario administrador oculto con prefijos wpsvc_ o wp_maint_ y email kiziltxt2@gmail.com, inyección de código en functions.php del tema activo, instalación de un must-use plugin en wp-content/mu-plugins/ que no puede desactivarse desde el panel, y colocación de archivos en wp-includes/ con nombres que simulan clases legítimas de WordPress.
La guía de seguridad publicada por Nextend advierte que los sitios afectados deben considerarse completamente comprometidos. El malware roba credenciales y las almacena en opciones de la base de datos (_wpc_uinfo), envía información del sitio a un servidor externo en wpjs1.com, y puede reinstalarse automáticamente en cada carga de página si no se limpian todos los archivos de persistencia. La versión gratuita distribuida en el repositorio de WordPress.org no se vio afectada, únicamente la versión Pro descargada desde los servidores de Nextend durante la ventana de exposición del 7 de abril.
Los administradores que instalaron la versión 3.5.1.35 deben actualizar inmediatamente a 3.5.1.36, pero esto por sí solo es insuficiente, el sitio requiere una limpieza completa que incluya eliminación de usuarios maliciosos, revisión manual de functions.php en todos los temas, borrado de archivos sospechosos en mu-plugins y wp-includes, eliminación de opciones maliciosas en la tabla wp_options, regeneración de claves de seguridad en wp-config.php, rotación de todas las credenciales y preferiblemente reinstalación completa de WordPress core.
La recomendación más segura es restaurar un backup previo al 5 de abril de 2026 para garantizar que ningún archivo malicioso permanezca en el sistema, ya que las capas de persistencia fueron diseñadas para sobrevivir incluso a cambios de credenciales de base de datos.
FUENTE ORIGINAL
Patchstack↗CURADO POR
Alejandro Vargas