Compra criptomonedas
Pagar con
USD
USD
Compra y venta
Hot
Acepta Visa, Mastercard, SEPA y más
P2P
0 Fees
Trading flexible y sin tarifas
Gate Card
Paga con tus cripto en todo el mundo
Mercados
Operar
Básico
Avanzado
Futuros
Contrato
Accede a cientos de contratos perpetuos
TradFi
Oro
Plataforma global de activos tradicionales
Opciones
Hot
Opera con opciones estándar al estilo europeo
Cuenta unificada
Maximiza la eficacia de tu capital
Trading de prueba
Introducción al trading de futuros
Prepárate para operar con futuros
Eventos de futuros
Únete a eventos para ganar recompensas
Trading de prueba
Usa fondos virtuales para probar el trading sin asumir riesgos
Earn
Lanzamiento
CandyDrop
Acumula golosinas para ganar airdrops
Launchpool
Staking rápido, ¡gana nuevos tokens con potencial!
HODLer Airdrop
Holdea GT y consigue airdrops enormes gratis
Pre-IPOs
Accede al acceso completo a las OPV de acciones globales
Puntos Alpha
Opera activos on-chain y recibe airdrops
Puntos de futuros
Gana puntos de futuros y reclama recompensas de airdrop
Inversión
Square
Square
Descubra el valor en criptomonedas
En vivo
moments live
Análisis del mercado de criptomonedas en tiempo real
Chat
Chatea con traders de criptomonedas
Noticias
Lo que está ocurriendo en el mundo de las criptomonedas
flower_head
Más
Promociones
AI
Otros
TradFi
WCTC S8
Recompensas

Un hacker compró 30 plugins de WordPress e insertó puertas traseras, permaneció oculto durante 8 meses y utilizó contratos inteligentes de Ethereum para eludir el bloqueo de dominios

動區BlockTempo
ethereum news
ETH-1,89%
BTC-1,77%

En agosto de 2025, un comprador que se hacía llamar «Kris» sembró una bomba de tiempo dentro de 191 líneas de código; ocho meses después, explotó, y las comunicaciones C2 eludieron el bloqueo. Este artículo se origina en el informe de la investigadora de seguridad Austin Ginder.
(Antecedentes: ¡BTC impulsa 75.000 dólares! ETH se recupera a 2400; Varz afirma que en las negociaciones entre Estados Unidos e Irán hay «muchos avances», y se fija una segunda ronda para el día 16)
(Información de contexto: carta pública del fundador de Gate, Dr. Han, por su 13.º aniversario: en la transición de ciclo, liberar la fuerza del cambio)

Índice del artículo

Toggle

  • 191 líneas, una frase «actualización de compatibilidad»
  • wp-config.php recibe una escritura de 6KB de código malicioso
  • No es la primera vez, y no será la última
  • Problemas de sistema, no de tecnología
  • WordPress.org cerró más de 30 complementos en un solo día

Treinta complementos, un período de latencia de ocho meses, y servidores C2 actualizados dinámicamente mediante contratos inteligentes de Ethereum. a principios de abril de 2026, WordPress.org desactivó más de 30 complementos en un único día laborable, con un total de millones de instalaciones. Y lo más sorprendente es que la puerta trasera ya estaba en funcionamiento desde el 8 de agosto de 2025, con una diferencia de 243 días completos hasta que fue detectada.

191 líneas, una frase «actualización de compatibilidad»

Vayamos atrás en el tiempo hasta 2015. El equipo de la India WP Online Support (luego rebautizado como Essential Plugin), fundado por tres personas, entre ellas Minesh Shah. Durante una década, acumularon una línea de productos que abarca más de 30 complementos. A finales de 2024, los ingresos ya habían caído entre 35% y 45% respecto a su punto más alto, y el equipo decidió ponerlo en venta en Flippa.

El comprador es alguien cuyo historial abarca marketing de SEO, criptomonedas y juegos de azar en línea, y que hacia afuera se presenta como «Kris». El 8 de agosto de 2025 se lanzó la versión 2.6.7, y el changelog solo escribió cuatro palabras: «actualización de compatibilidad».

El cambio real es este: class-anylc-admin.php pasó de 473 líneas a 664 líneas, añadiendo 191 líneas de código de puerta trasera. Este es el primer commit de Kris en el SVN.

La puerta trasera no se activó de inmediato. Entró en modo de espera hasta el 5 y 6 de abril de 2026, cuando comenzó la primera fase: el módulo wpos-analytics envió una solicitud de callback a analytics.essentialplugin.com y descargó un archivo con el nombre wp-comments-posts.php. Imitaba intencionalmente al wp-comments-post.php del núcleo de WordPress, con una letra menos.

wp-config.php recibe una escritura de 6KB de código malicioso

El 6 de abril de 2026 a las 04:22 UTC, la inyección inició su ejecución; a las 11:06 UTC, wp-config.php ya se había escrito por completo en los sitios víctimas a nivel global. En 6 horas y 44 minutos, no se activó ninguna alerta a nivel de plataforma.

El código malicioso inyectado hace dos cosas: primero, incrusta enlaces externos de spam, pero solo se muestran en el User-Agent de Googlebot; los visitantes generales y los administradores del sitio ven páginas completamente normales; segundo, abre un endpoint REST API sin autenticar (permission_callback: __return_true), junto con la función de PHP para deserializar fetch_ver_info(), formando una ruta de ejecución remota para llamadas arbitrarias de funciones.

Sin embargo, el detalle de diseño más digno de registro no está en la inyección en sí, sino en el mecanismo de evasión de la infraestructura C2: los atacantes escriben la lógica de resolución del dominio del controlador en un contrato inteligente de Ethereum; la puerta trasera consulta el destino más reciente a través de nodos RPC de la cadena de bloques pública.

Las listas negras tradicionales de seguridad, o el bloqueo DNS, no sirven para esta arquitectura. Los atacantes solo necesitan actualizar el contrato: la C2 de todos los sitios infectados del mundo cambia de forma sincronizada, sin necesidad de tocar ningún servidor controlado.

No es la primera vez, y no será la última vez

En 2017, Daley Tias compró el complemento Display Widgets con 200.000 instalaciones por 15.000 dólares, insertando enlaces basura del tipo de préstamo; después, al menos 9 complementos más se vieron afectados. Tras aquel incidente, WordPress.org no lanzó un mecanismo de revisión obligatoria para transferencias de propiedad de complementos; no activó una revisión adicional manual o automatizada cuando el nuevo committer hizo su primer envío; y tampoco envió una notificación a los usuarios existentes que usaban instalaciones indicando «el complemento ya tiene nuevo dueño».

Nueve años después, el proceso es idéntico. Kris completa la adquisición, obtiene permisos para enviar al SVN y su primer commit es la puerta trasera; todo, con cumplimiento.

Problemas de sistema, no de tecnología

Este incidente no utilizó ninguna vulnerabilidad zero-day. La calidad del código de la puerta trasera es mediocre; dentro de esas 191 líneas no hay ninguna técnica sofisticada de ofuscación. Puede permanecer oculto durante 243 días, y no se basa en capacidades técnicas, sino en la ausencia total de esa pieza del proceso en el mercado de complementos de WordPress.org, en el cambio de propiedad.

Analizar el dominio C2 mediante un contrato inteligente de Ethereum sí añade, en términos técnicos, una capa de diseño que merece debate; pero eso solo hace más difícil la tarea de limpieza, no es la causa de que el ataque ocurra. El ataque puede ocurrir porque la plataforma permite que cualquiera compre un complemento, envíe actualizaciones y no tenga que explicar a nadie con qué se vuelve «compatible» el «actualización de compatibilidad» que figura en el changelog.

WordPress.org cerró más de 30 complementos en un solo día

El 7 de abril de 2026, el equipo de complementos de WordPress.org cerró de forma permanente todos los complementos del autor de Essential Plugin. Al menos 30 complementos, todos cerrados el mismo día. Los complementos confirmados por Austin Ginder son los siguientes:

  • Accordion and Accordion Slider — accordion-and-accordion-slider
  • Album and Image Gallery Plus Lightbox — album-and-image-gallery-plus-lightbox
  • Audio Player with Playlist Ultimate — audio-player-with-playlist-ultimate
  • Blog Designer for Post and Widget — blog-designer-for-post-and-widget
  • Countdown Timer Ultimate — countdown-timer-ultimate
  • Featured Post Creative — featured-post-creative
  • Footer Mega Grid Columns — footer-mega-grid-columns
  • Hero Banner Ultimate — hero-banner-ultimate
  • HTML5 VideoGallery Plus Player — html5-videogallery-plus-player
  • Meta Slider and Carousel with Lightbox — meta-slider-and-carousel-with-lightbox
  • Popup Anything on Click — popup-anything-on-click
  • Portfolio and Projects — portfolio-and-projects
  • Post Category Image with Grid and Slider — post-category-image-with-grid-and-slider
  • Post Grid and Filter Ultimate — post-grid-and-filter-ultimate
  • Preloader for Website — preloader-for-website
  • Product Categories Designs for WooCommerce — product-categories-designs-for-woocommerce
  • Responsive WP FAQ with Category — sp-faq
  • SlidersPack – All in One Image Sliders — sliderspack-all-in-one-image-sliders
  • SP News And Widget — sp-news-and-widget
  • Styles for WP PageNavi – Addon — styles-for-wp-pagenavi-addon
  • Ticker Ultimate — ticker-ultimate
  • Timeline and History Slider — timeline-and-history-slider
  • Woo Product Slider and Carousel with Category — woo-product-slider-and-carousel-with-category
  • WP Blog and Widgets — wp-blog-and-widgets
  • WP Featured Content and Slider — wp-featured-content-and-slider
  • WP Logo Showcase Responsive Slider and Carousel — wp-logo-showcase-responsive-slider-slider
  • WP Responsive Recent Post Slider — wp-responsive-recent-post-slider
  • WP Slick Slider and Image Carousel — wp-slick-slider-and-image-carousel
  • WP Team Showcase and Slider — wp-team-showcase-and-slider
  • WP Testimonial with Widget — wp-testimonial-with-widget
  • WP Trending Post Slider and Widget — wp-trending-post-slider-and-widget

Ver fuente
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el Aviso legal.

Artículos relacionados

El ecosistema de Ethereum lucha con métricas de descentralización mientras Base se prepara para la actualización Azul

ethereum news

Mensaje de Gate News, 28 de abril — El ecosistema de Ethereum está abordando cuestiones clave sobre estándares de descentralización y seguridad, con desarrollos significativos en esta semana en redes de capa 2 y marcos de investigación. Investigación y estándares L2BEAT ha propuesto revisar las métricas de evaluación de los rollups para

GateNewshace1h

ZetaChain Suspende las Transacciones entre Cadenas Después de un Ataque al Contrato Inteligente

bitcoin newsethereum newsUSDC newsAvance del proyectoIncidentes de seguridadRiesgo de exchange

La red de Capa 1 ZetaChain ha pausado las transacciones entre cadenas en su red principal después de identificar un ataque en su contrato GatewayEVM, según The Block. El incidente afectó solo a las carteras internas del equipo de ZetaChain, sin que se vieran fondos de usuarios afectados, afirmó el equipo. Según datos de DefiLlama, $300,000

CryptoFrontierhace3h

El volumen de futuros de Ethereum se dispara un 38,22% en 24 horas hasta $462,97B

ethereum newsDatos sobre derivados

Mensaje de Gate News, 28 de abril — El volumen de operaciones de futuros de Ethereum en todos los principales exchanges aumentó un 38,22% durante las últimas 24 horas, alcanzando un total de $462,97 mil millones, según datos de CoinGlass. La distribución del volumen de operaciones mostró que las principales CEX representaron porciones significativas del mercado, con el interés abierto de Ethereum situándose en aproximadamente $317,29 mil millones a nivel global, con Ethe

GateNewshace4h

Ballena de Ethereum en Hyperliquid enfrenta liquidación en $50 mientras ETH retrocede

ethereum newsDatos sobre derivados

Mensaje de Gate News, 28 de abril — Según el monitoreo de Hyperinsight, un gran titular de una posición larga en Ethereum (0x535) en la plataforma Hyperliquid es el que está más cerca de la liquidación entre todos los grandes inversores a escala de millones de dólares

GateNewshace5h
Comentar
0/400
Sin comentarios