Mais de 30 plugins do pacote EssentialPlugin, para WordPress, foram comprometidos com código malicioso capaz de permitir acesso não autorizado aos sites que os utilizam.
O ataque começou no ano passado, quando um agente malicioso inseriu um backdoor, mas só recentemente passou a distribuí-lo aos usuários por meio de atualizações.
Com essas atualizações, o código passou a gerar páginas de spam e provocar redirecionamentos, conforme instruções recebidas de um servidor de comando e controle, ou C2.
A falha afeta plugins com centenas de milhares de instalações ativas e foi identificada por Austin Ginder, fundador da Anchor Hosting, empresa de hospedagem gerenciada de WordPress, após receber uma denúncia sobre um complemento que continha código capaz de permitir acesso de terceiros.
A investigação de Ginder mostrou que um backdoor estava presente em todos os plugins do pacote EssentialPlugin desde agosto de 2025, após a aquisição do projeto em uma negociação de seis dígitos por um novo proprietário.
A EssentialPlugin, criada em 2015 como WP Online Support e rebatizada em 2021, é uma empresa de desenvolvimento WordPress que oferece controles deslizantes, galerias, ferramentas de marketing, extensões para WooCommerce, utilitários de SEO e análise de dados, além de temas.
Segundo Ginder, o backdoor permaneceu inativo até ser recentemente ativado.
A partir daí, passou a contatar discretamente uma infraestrutura externa para buscar um arquivo chamado wp-comments-posts.php, que injeta malware no wp-config.php.
O malware baixado não é visível para os donos dos sites e utiliza resolução de endereços C2 baseada em Ethereum para dificultar a detecção.
Dependendo das instruções recebidas, ele pode carregar links de spam, redirecionamentos e páginas falsas.
“O código injetado era sofisticado.
Ele buscava links de spam, redirecionamentos e páginas falsas em um servidor de comando e controle.
O spam só era exibido para o Googlebot, o que o tornava invisível para os donos dos sites”, explicou Ginder.
A análise da plataforma de segurança WordPress PatchStack indica que o backdoor só funcionava se o ponto de extremidade analytics.essentialplugin.com retornasse conteúdo serializado malicioso.
Diante dos relatos, o WordPress.org agiu rapidamente, desativando os plugins e distribuindo uma atualização forçada para os sites, com o objetivo de neutralizar a comunicação do backdoor e desativar seu caminho de execução.
Ainda assim, os desenvolvedores alertaram que a medida não removeu o arquivo de configuração central wp-config.php, que conecta os sites aos bancos de dados e reúne definições importantes.
A equipe de Plugins do WordPress.org também orientou os administradores de sites que usam produtos da EssentialPlugin a ficarem atentos.
Embora um local conhecido para o backdoor seja o arquivo wp-comments-posts.php, que se parece com o legítimo wp-comments-post.php, o malware pode estar escondido em outros arquivos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...