Un sofisticado ataque de cadena de suministro ha comprometido el popular plugin de WordPress Gravity Forms, infectando los instaladores oficiales con código malicioso que afectó aproximadamente un millón de sitios web. Entre las víctimas se encuentran plataformas de alto perfil como Airbnb, Nike, ESPN, Unicef y Google, que utilizan este plugin premium para la gestión de formularios en línea.
Descubrimiento y Análisis Técnico de la Amenaza
Los investigadores de seguridad de PatchStack fueron los primeros en identificar la actividad maliciosa tras recibir reportes sobre comportamientos anómalos en plugins descargados directamente desde el sitio oficial de Gravity Forms. El análisis forense reveló la presencia de un archivo malicioso denominado gravityforms/common.php que ejecutaba solicitudes POST hacia el dominio sospechoso gravityapi[.]org/sites.
La investigación demostró que el plugin comprometido realizaba una recopilación masiva de metadatos sensibles de los sitios afectados. Esta información incluía URLs completas, rutas de acceso al panel administrativo, detalles sobre temas instalados, inventario de plugins activos y versiones específicas de PHP y WordPress. Todos estos datos se transmitían de forma encriptada a los servidores controlados por los atacantes.
Funcionamiento del Backdoor y Persistencia
El mecanismo de infección operaba mediante un sistema de comando y control sofisticado. En respuesta a los datos enviados, el servidor malicioso retornaba código PHP codificado en base64 que se almacenaba automáticamente como wp-includes/bookmark-canonical.php. Esta puerta trasera se camufló como herramientas legítimas de gestión de contenido de WordPress para evadir la detección.
El backdoor implementaba funciones especializadas como handle_posts(), handle_media() y handle_widgets() que otorgaban control total sobre los sitios comprometidos sin requerir autenticación. Adicionalmente, el malware bloqueaba los intentos de actualización del plugin y creaba cuentas de administrador ocultas, garantizando acceso persistente a los recursos comprometidos.
Alcance Temporal y Versiones Afectadas
RocketGenius, la empresa desarrolladora de Gravity Forms, confirmó que únicamente las versiones 2.9.11.1 y 2.9.12 resultaron comprometidas. Estas versiones estuvieron disponibles para descarga manual durante un período crítico de 48 horas, del 10 al 11 de julio de 2025. Los usuarios que instalaron la versión 2.9.11 a través de Composer durante estas fechas también recibieron copias infectadas.
Es importante destacar que el servicio Gravity API, responsable del licenciamiento, actualizaciones automáticas e instalación de complementos, permaneció seguro durante todo el incidente. Esto significa que las actualizaciones gestionadas automáticamente por este servicio no se vieron comprometidas.
Estrategias de Mitigación y Respuesta
Los expertos en ciberseguridad recomiendan encarecidamente que todos los administradores que descargaron Gravity Forms durante el período mencionado reinstalen inmediatamente el plugin utilizando una versión limpia del sitio oficial. Esta medida debe complementarse con una auditoría exhaustiva de seguridad del sitio web.
Las acciones de remediación incluyen la búsqueda específica del archivo bookmark-canonical.php en el directorio wp-includes/, la revisión completa de cuentas de usuario para identificar administradores no autorizados y el análisis detallado de logs del servidor para detectar actividad sospechosa o accesos no autorizados.
Este incidente subraya la importancia crítica de implementar estrategias de monitoreo continuo de seguridad y respuesta rápida ante amenazas emergentes. Los ataques de cadena de suministro representan una tendencia creciente en el panorama de ciberseguridad, requiriendo que los administradores mantengan vigilancia constante incluso al instalar software desde fuentes tradicionalmente confiables. La implementación de controles de integridad, monitoreo de comportamiento y políticas de actualización controladas se vuelve esencial para proteger la infraestructura digital contra estas sofisticadas amenazas.
