Un sofisticado ataque de la cadena de suministro ha comprometido el complemento oficial de WordPress de Gravityforms, permitiendo a los atacantes inyectar código malicioso que permita la ejecución de código remoto en los sitios web afectados.
El ataque, descubierto el 11 de julio de 2025, representa una violación de seguridad significativa que afecta a uno de los complementos de construcción de formas más populares de WordPress, y el malware se distribuye directamente a través del dominio oficial de GravityForms.com.
Control de llave
1. Un sofisticado ataque de la cadena de suministro comprometió la versión de GravityForms de la versión 2.9.12, inyectando malware a través de la distribución oficial de complementos.
2. El malware habilitó la ejecución del código remoto, la exfiltración de datos y el acceso persistente de puerta trasera utilizando funciones como update_entry_detail () y list_sections ().
3. El dominio malicioso (gravityapi.org) se cerró, y el desarrollador lanzó una versión limpia (2.9.13) para detener más infecciones.
4. Los usuarios deben actualizar de inmediato y monitorear actividades sospechosas, especialmente cuentas de administración no autorizadas o archivos PHP inusuales.
Complemento de gravityforms pirateado
La violación de seguridad fue la primera identificado por investigadores de PatchStack, quienes recibieron informes de solicitudes sospechosas de HTTP a un dominio desconocido, gravityapi.org, que se originan en el complemento GravityForms.
El dominio malicioso se registró el 8 de julio de 2025, pocos días antes de que se descubriera el ataque, lo que sugiere una campaña cuidadosamente orquestada.
Las investigaciones iniciales revelaron que el complemento comprometido versión 2.9.12 contenía malware que se distribuía a través de canales oficiales, incluidas descargas manuales e instalaciones de compositor.
Sin embargo, el ataque parecía tener una ventana de oportunidad limitada, ya que RocketGenius, el desarrollador de GravityForms, respondió rápidamente para eliminar el código malicioso de nuevas descargas.
La compañía confirmó que estaban llevando a cabo una investigación exhaustiva sobre la violación, y para el 7 de julio de 2025, habían lanzado la versión 2.9.13 para garantizar que los usuarios pudieran actualizarse de manera segura sin la puerta trasera presente.
Además, el registrador de dominio Namecheap suspendió el dominio gravityapi.org para evitar una mayor explotación.
El malware operaba a través de dos vectores primarios, ambos diseñados para proporcionar a los atacantes un control integral sobre las instalaciones infectadas de WordPress.
El primer método involucró una función maliciosa llamada update_entry_detail () incrustada en el archivo Common.php del complemento, que ejecutaba automáticamente cada vez que el complemento estaba activo.
Esta función recopiló información extensa del sistema de sitios infectados, incluida la versión de WordPress, los complementos activos, los recuentos de usuarios y los detalles del servidor, luego transmitió estos datos al dominio controlado por el atacante.
La respuesta del servidor malicioso contenía cargas útiles codificadas de Base64 que se guardaron automáticamente en el sistema de archivos del sitio infectado, creando puestos persistentes.
El segundo vector de ataque utilizó una función llamada list_sections () que creó un sofisticado sistema de puerta trasera que requería un token API específico para el acceso. Esta puerta trasera proporcionó a los atacantes capacidades extensas:
Creación de cuentas de administrador con privilegios completos. Ejecución del código PHP arbitrario a través de funciones eval (). Cargar archivos maliciosos al sistema de archivos del servidor. Listado y eliminación de cuentas de usuario existentes. Realización de recorridos integrales de directorio. Mantener el acceso persistente incluso después del descubrimiento.
El malware era particularmente peligroso porque podría ejecutar el código PHP arbitrario a través de funciones eval (), esencialmente brindando a los atacantes control completo sobre sitios web infectados.
La puerta trasera también incluía funcionalidad para crear nuevas cuentas de administrador, asegurando efectivamente el acceso persistente incluso si se descubrió el compromiso inicial.
Mitigaciones
Si bien el alcance completo del ataque permanece bajo investigación, las evaluaciones preliminares sugieren que la infección no fue generalizada, probablemente debido al corto plazo durante el cual la versión maliciosa estaba disponible.
Las principales empresas de alojamiento web han comenzado a escanear sus servidores para obtener indicadores de compromiso, y los resultados sugieren una distribución limitada.
El ataque destaca las vulnerabilidades críticas en las cadenas de suministro de software, donde incluso las fuentes de confianza pueden verse comprometidas.
La naturaleza sofisticada del malware, con sus múltiples puertas traseras y capacidades integrales de acceso al sistema, demuestra las técnicas avanzadas empleadas por los cibercriminales modernos.
Las empresas de seguridad han identificado varios indicadores de compromiso, incluidas direcciones IP sospechosas (185.193.89.19 y 193.160.101.6), archivos maliciosos (Bookmark-Canonical.php y Block-Caching.php), y el token API específico utilizado por el sistema de traseros.
Se recomienda a las organizaciones que usan GravityForms que actualicen inmediatamente a la Versión 2.9.13 o posterior, realicen escaneos de seguridad exhaustivos de sus instalaciones de WordPress y supervise cualquier cuentas de administrador no autorizadas o modificaciones de archivos sospechosos.
Este incidente subraya la importancia de mantener un monitoreo de seguridad sólido y la necesidad de mejorar las medidas de seguridad de la cadena de suministro en el ecosistema de desarrollo de software.
Indicador de compromisos (COI):
TypeIndicator / DetailNotesIP Dirección185.193.89.19 Dirección IPIP maliciosa potencial193.160.101.6 Potencial ipdomaingdravityapi.orgassociado con compromisedomaingravityapi.iosociado con compromisos PathIncludes/settings/class-settings.phplook para list_sectionsfilefile pathwp-includes/bookmark-canonical.phpsuspicious FileFile PathWp-incluye/block-e-caching.phpsuspicious fileHash/StringCX3VGSWAHKB9YZIL9QI48IFHWKM4SQ6TE5ODNTBYU6ASB9JX06KYAWMRFPTG1EP3POSIBLEMENTE un hash de archivo, firma de malware o identificador único
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
