Un sofisticado ataque de cadena de suministro ha comprometido el popular plugin de WordPress Gravity Forms, infectando los instaladores oficiales con c贸digo malicioso que afect贸 aproximadamente un mill贸n de sitios web. Entre las v铆ctimas se encuentran plataformas de alto perfil como Airbnb, Nike, ESPN, Unicef y Google, que utilizan este plugin premium para la gesti贸n de formularios en l铆nea.
Descubrimiento y An谩lisis T茅cnico de la Amenaza
Los investigadores de seguridad de PatchStack fueron los primeros en identificar la actividad maliciosa tras recibir reportes sobre comportamientos an贸malos en plugins descargados directamente desde el sitio oficial de Gravity Forms. El an谩lisis forense revel贸 la presencia de un archivo malicioso denominado gravityforms/common.php que ejecutaba solicitudes POST hacia el dominio sospechoso gravityapi[.]org/sites.
La investigaci贸n demostr贸 que el plugin comprometido realizaba una recopilaci贸n masiva de metadatos sensibles de los sitios afectados. Esta informaci贸n inclu铆a URLs completas, rutas de acceso al panel administrativo, detalles sobre temas instalados, inventario de plugins activos y versiones espec铆ficas de PHP y WordPress. Todos estos datos se transmit铆an de forma encriptada a los servidores controlados por los atacantes.
Funcionamiento del Backdoor y Persistencia
El mecanismo de infecci贸n operaba mediante un sistema de comando y control sofisticado. En respuesta a los datos enviados, el servidor malicioso retornaba c贸digo PHP codificado en base64 que se almacenaba autom谩ticamente como wp-includes/bookmark-canonical.php. Esta puerta trasera se camufl贸 como herramientas leg铆timas de gesti贸n de contenido de WordPress para evadir la detecci贸n.
El backdoor implementaba funciones especializadas como handle_posts(), handle_media() y handle_widgets() que otorgaban control total sobre los sitios comprometidos sin requerir autenticaci贸n. Adicionalmente, el malware bloqueaba los intentos de actualizaci贸n del plugin y creaba cuentas de administrador ocultas, garantizando acceso persistente a los recursos comprometidos.
Alcance Temporal y Versiones Afectadas
RocketGenius, la empresa desarrolladora de Gravity Forms, confirm贸 que 煤nicamente las versiones 2.9.11.1 y 2.9.12 resultaron comprometidas. Estas versiones estuvieron disponibles para descarga manual durante un per铆odo cr铆tico de 48 horas, del 10 al 11 de julio de 2025. Los usuarios que instalaron la versi贸n 2.9.11 a trav茅s de Composer durante estas fechas tambi茅n recibieron copias infectadas.
Es importante destacar que el servicio Gravity API, responsable del licenciamiento, actualizaciones autom谩ticas e instalaci贸n de complementos, permaneci贸 seguro durante todo el incidente. Esto significa que las actualizaciones gestionadas autom谩ticamente por este servicio no se vieron comprometidas.
Estrategias de Mitigaci贸n y Respuesta
Los expertos en ciberseguridad recomiendan encarecidamente que todos los administradores que descargaron Gravity Forms durante el per铆odo mencionado reinstalen inmediatamente el plugin utilizando una versi贸n limpia del sitio oficial. Esta medida debe complementarse con una auditor铆a exhaustiva de seguridad del sitio web.
Las acciones de remediaci贸n incluyen la b煤squeda espec铆fica del archivo bookmark-canonical.php en el directorio wp-includes/, la revisi贸n completa de cuentas de usuario para identificar administradores no autorizados y el an谩lisis detallado de logs del servidor para detectar actividad sospechosa o accesos no autorizados.
Este incidente subraya la importancia cr铆tica de implementar estrategias de monitoreo continuo de seguridad y respuesta r谩pida ante amenazas emergentes. Los ataques de cadena de suministro representan una tendencia creciente en el panorama de ciberseguridad, requiriendo que los administradores mantengan vigilancia constante incluso al instalar software desde fuentes tradicionalmente confiables. La implementaci贸n de controles de integridad, monitoreo de comportamiento y pol铆ticas de actualizaci贸n controladas se vuelve esencial para proteger la infraestructura digital contra estas sofisticadas amenazas.
