Hackers compraram 30 plugins WordPress e inseriram backdoors, estiveram ocultos durante 8 meses, usando contratos inteligentes Ethereum para contornar o bloqueio de domínios

Em agosto de 2025, um comprador que se fazia chamar “Kris” deixou uma bomba-relógio numa linha de código de 191; oito meses depois, explodiu, contornando as comunicações C2 através de bloqueios. Este artigo tem origem num relatório do investigador de segurança Austin Ginder.
(Antecedentes: Golpe do BTC para 75 mil dólares! ETH recupera para 2400, Vance diz que há “avanços consideráveis” nas negociações EUA-Irão; 16 dias para uma segunda ronda de negociações)
(Informação de contexto: Carta pública do fundador da Gate, Dr. Han, no 13.º aniversário: libertar o poder da mudança na transição de ciclos)

Índice do artigo

Alternar

• 191 linhas, uma frase “atualização de compatibilidade”
• wp-config.php foi escrito com código malicioso de 6KB
• Isto não é a primeira vez, nem será a última vez
• Questões de sistema, não de tecnologia
• WordPress.org fechou mais de 30 plugins no espaço de um dia

Trinta plugins, período de latência de oito meses, e servidores C2 com atualização dinâmica via contratos inteligentes da Ethereum. No início de abril de 2026, o WordPress.org desativou mais de 30 plugins num único dia útil, com um total de instalações na casa dos milhões. E o que é ainda mais surpreendente é que a backdoor já estava em funcionamento desde 8 de agosto de 2025, a 243 dias de ser detetada.

191 linhas, uma frase “atualização de compatibilidade”

Faz-se agora um retrocesso no tempo até 2015. A equipa indiana do WP Online Support (mais tarde renomeado para Essential Plugin), fundada por três pessoas, incluindo Minesh Shah, acumulou ao longo de uma década uma linha de produtos que abrangia mais de 30 plugins. No final de 2024, a receita tinha caído 35 a 45% face ao pico, e a equipa optou por colocar a venda no Flippa.

O comprador era alguém cujo histórico atravessava marketing de SEO, criptomoeda e jogos online, e que se apresenta publicamente como “Kris”. Em 8 de agosto de 2025, a versão 2.6.7 foi lançada, e o changelog só trazia quatro palavras: “atualização de compatibilidade”.

A alteração real foi a seguinte: o ficheiro class-anylc-admin.php expandiu de 473 linhas para 664 linhas, adicionando código de backdoor nas 191 linhas. Este foi o primeiro commit do Kris no SVN.

A backdoor não arrancou imediatamente. Adormeceu até 5–6 de abril de 2026, quando começou a executar a primeira fase: o módulo wpos-analytics enviou um pedido de callback para analytics.essentialplugin.com, descarregando um ficheiro chamado wp-comments-posts.php. Imitava deliberadamente o wp-comments-post.php do núcleo do WordPress, apenas com uma letra diferente.

wp-config.php foi escrito com código malicioso de 6KB

Em 6 de abril de 2026, às 04:22 UTC, a injeção iniciou-se; às 11:06 UTC, o wp-config.php já tinha sido escrito por completo nos sites globais comprometidos. Em 6 horas e 44 minutos, nenhuma plataforma de alerta a nível de camadas foi acionada.

O código malicioso injetado faz duas coisas: em primeiro lugar, injeta ligações externas de spam, mas apenas para o User-Agent do Googlebot; os visitantes comuns e os administradores do site veem páginas completamente normais. Em segundo lugar, abre um endpoint REST API sem autenticação (permission_callback: __return_true), em conjunto com a função PHP fetch_ver_info(), formando um caminho de execução remota de chamada de funções arbitrárias.

No entanto, o detalhe de design que vale mais a pena registar não está na injeção em si, mas na solução de evasão da infraestrutura C2: os atacantes incorporam a lógica de resolução do domínio de comando no contrato inteligente da Ethereum, e a backdoor consulta o apontamento mais recente através de nós RPC da blockchain pública.

As defesas tradicionais de cibersegurança, como blacklists de domínios e bloqueio DNS, não têm qualquer efeito nesta arquitetura: os atacantes só precisam de atualizar o contrato, e o C2 de todos os sites infetados muda sincronizadamente, sem necessidade de tocar em quaisquer servidores controlados.

Isto não é a primeira vez, nem será a última vez

Em 2017, Daley Tias comprou o plugin Display Widgets com 200 mil instalações por 15 mil dólares, injetando ligações de spam do tipo empréstimo; posteriormente, afetou pelo menos 9 plugins. Após aquele incidente, o WordPress.org não introduziu um mecanismo de validação obrigatória para a transferência de propriedade de plugins; não ativou qualquer revisão adicional manual ou automatizada na primeira submissão por um novo committer; e também não enviou aos utilizadores existentes instalados uma notificação de que “o plugin já passou para outra propriedade”.

Nove anos depois, o processo é exatamente igual. O Kris concluiu a aquisição, obteve permissões de submissão no SVN e a primeira commit é a backdoor — tudo em conformidade.

Questões de sistema, não de tecnologia

Este incidente não utilizou quaisquer vulnerabilidades zero-day. A qualidade do código da backdoor é medíocre; dentro das 191 linhas não há qualquer técnica de ofuscação engenhosa. Consegue ficar em latência durante 243 dias, não devido a capacidade técnica, mas à ausência completa, na plataforma, deste processo crucial de alteração de propriedade no marketplace de plugins do WordPress.org.

Analisar o domínio C2 através de contratos inteligentes da Ethereum, de facto, adiciona uma camada de design que merece discussão na arquitetura técnica do ataque, mas isso apenas torna a limpeza mais difícil; não é a causa que permite que o ataque aconteça. O ataque foi possível porque a plataforma permite que qualquer pessoa compre um plugin, envie atualizações, sem precisar de explicar a ninguém a que compatibilidade corresponde o “atualização de compatibilidade” escrito no changelog.

WordPress.org fechou mais de 30 plugins no espaço de um dia

Em 7 de abril de 2026, a equipa de plugins do WordPress.org desativou permanentemente todos os plugins do autor do Essential Plugin. Pelo menos 30 plugins, todos fechados no mesmo dia. Seguem os plugins confirmados por Austin Ginder:

• Accordion and Accordion Slider — accordion-and-accordion-slider
• Album and Image Gallery Plus Lightbox — album-and-image-gallery-plus-lightbox
• Audio Player with Playlist Ultimate — audio-player-with-playlist-ultimate
• Blog Designer for Post and Widget — blog-designer-for-post-and-widget
• Countdown Timer Ultimate — countdown-timer-ultimate
• Featured Post Creative — featured-post-creative
• Footer Mega Grid Columns — footer-mega-grid-columns
• Hero Banner Ultimate — hero-banner-ultimate
• HTML5 VideoGallery Plus Player — html5-videogallery-plus-player
• Meta Slider and Carousel with Lightbox — meta-slider-and-carousel-with-lightbox
• Popup Anything on Click — popup-anything-on-click
• Portfolio and Projects — portfolio-and-projects
• Post Category Image with Grid and Slider — post-category-image-with-grid-and-slider
• Post Grid and Filter Ultimate — post-grid-and-filter-ultimate
• Preloader for Website — preloader-for-website
• Product Categories Designs for WooCommerce — product-categories-designs-for-woocommerce
• Responsive WP FAQ with Category — sp-faq
• SlidersPack – All in One Image Sliders — sliderspack-all-in-one-image-sliders
• SP News And Widget — sp-news-and-widget
• Styles for WP PageNavi – Addon — styles-for-wp-pagenavi-addon
• Ticker Ultimate — ticker-ultimate
• Timeline and History Slider — timeline-and-history-slider
• Woo Product Slider and Carousel with Category — woo-product-slider-and-carousel-with-category
• WP Blog and Widgets — wp-blog-and-widgets
• WP Featured Content and Slider — wp-featured-content-and-slider
• WP Logo Showcase Responsive Slider and Carousel — wp-logo-showcase-responsive-slider-slider
• WP Responsive Recent Post Slider — wp-responsive-recent-post-slider
• WP Slick Slider and Image Carousel — wp-slick-slider-and-image-carousel
• WP Team Showcase and Slider — wp-team-showcase-and-slider
• WP Testimonial with Widget — wp-testimonial-with-widget
• WP Trending Post Slider and Widget — wp-trending-post-slider-and-widget