{"id":518,"date":"2026-04-10T08:39:42","date_gmt":"2026-04-10T08:39:42","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/10\/actualizacion-de-smart-slider-3-pro-con-puerta-trasera-distribuida-a-traves-de-servidores-nextend-comprometidos-cyberdefensa-mx\/"},"modified":"2026-04-10T08:39:42","modified_gmt":"2026-04-10T08:39:42","slug":"actualizacion-de-smart-slider-3-pro-con-puerta-trasera-distribuida-a-traves-de-servidores-nextend-comprometidos-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/10\/actualizacion-de-smart-slider-3-pro-con-puerta-trasera-distribuida-a-traves-de-servidores-nextend-comprometidos-cyberdefensa-mx\/","title":{"rendered":"Actualizaci\u00f3n de Smart Slider 3 Pro con puerta trasera distribuida a trav\u00e9s de servidores Nextend comprometidos \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Actores de amenazas desconocidos han secuestrado el sistema de actualizaci\u00f3n del complemento Smart Slider 3 Pro para WordPress y Joomla para impulsar una versi\u00f3n envenenada que contiene una puerta trasera.<\/p>\n<p>El incidente afecta a Smart Slider 3 Pro versi\u00f3n 3.5.1.35 para WordPress, seg\u00fan la empresa de seguridad de WordPress Patchstack. Smart Slider 3 es un popular complemento de control deslizante de WordPress con m\u00e1s de 800.000 instalaciones activas en sus ediciones gratuita y Pro.<\/p>\n<p>\u00abUna parte no autorizada obtuvo acceso a la infraestructura de actualizaci\u00f3n de Nextend y distribuy\u00f3 una compilaci\u00f3n totalmente escrita por el atacante a trav\u00e9s del canal de actualizaci\u00f3n oficial\u00bb, dijo la compa\u00f1\u00eda. <a href=\"https:\/\/patchstack.com\/articles\/critical-supply-chain-compromise-in-smart-slider-3-pro-full-malware-analysis\/\">dicho<\/a>. \u00abCualquier sitio que se actualiz\u00f3 a 3.5.1.35 entre su lanzamiento el 7 de abril de 2026 y su detecci\u00f3n aproximadamente 6 horas despu\u00e9s recibi\u00f3 un conjunto de herramientas de acceso remoto completamente armado\u00bb.<\/p>\n<p>Nextend, que mantiene el complemento, <a href=\"https:\/\/wordpress.org\/support\/topic\/smart-slider-3-pro-update\/#post-18873519\">dicho<\/a> una parte no autorizada obtuvo acceso no autorizado a su sistema de actualizaci\u00f3n e impuls\u00f3 una versi\u00f3n maliciosa (3.5.1.35 Pro) que permaneci\u00f3 accesible durante aproximadamente seis horas, antes de ser detectada y retirada.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/vpn-risk-report-inside-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgWajeG0cdaapf1GKTZRUZUB7BzuYGegyw5k0eAorJXlmkFdYCCeLXXhXYJuXU9lWD33rV6rRnIyly3czoNfYifpxk1eGA5slItPmim3HkubXoQMgC4J7hdQPywxGbWq7Eqeff_o6s2Fq-WmSFd5guwdLn7IqpveMqULqtVnd-ndnljWYGj45EkMFB7m0qm\/s728-e100\/z-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>La actualizaci\u00f3n troyanizada incluye la capacidad de crear cuentas de administrador fraudulentas, as\u00ed como puertas traseras que ejecutan comandos del sistema de forma remota a trav\u00e9s de encabezados HTTP y ejecutan c\u00f3digo PHP arbitrario a trav\u00e9s de par\u00e1metros de solicitud ocultos. Seg\u00fan Patchstack, el malware viene con las siguientes capacidades:<\/p>\n<ul>\n<li>Logre la ejecuci\u00f3n remota de c\u00f3digo autenticado previamente a trav\u00e9s de encabezados HTTP personalizados como X-Cache-Status y X-Cache-Key, el \u00faltimo de los cuales contiene el c\u00f3digo que se pasa a \u00abshell_exec()\u00bb.<\/li>\n<li>Una puerta trasera que admite modos de ejecuci\u00f3n dual, lo que permite al atacante ejecutar c\u00f3digo PHP y comandos del sistema operativo arbitrarios en el servidor.<\/li>\n<li>Cree una cuenta de administrador oculta (por ejemplo, \u00abwpsvc_a3f1\u00bb) para acceso persistente y h\u00e1gala invisible para los administradores leg\u00edtimos manipulando los filtros \u00abpre_user_query\u00bb y \u00abviews_users\u00bb.<\/li>\n<li>Utilice tres opciones personalizadas de WordPress configuradas con la configuraci\u00f3n de \u00abcarga autom\u00e1tica\u00bb deshabilitada para reducir su visibilidad en los volcados de opciones: _wpc_ak (una clave de autenticaci\u00f3n secreta), _wpc_uid (ID de usuario de la cuenta de administrador oculta) y _wpc_uinfo (JSON codificado en Base64 que contiene el nombre de usuario, la contrase\u00f1a y el correo electr\u00f3nico en texto plano de la cuenta fraudulenta).<\/li>\n<li>Instale la persistencia en tres ubicaciones para lograr redundancia: cree un complemento de uso obligatorio con el nombre de archivo \u00abobject-cache-helper.php\u00bb para que parezca un componente de almacenamiento en cach\u00e9 leg\u00edtimo, agregue el componente de puerta trasera al archivo \u00abfunctions.php\u00bb del tema activo y suelte un archivo llamado \u00abclass-wp-locale-helper.php\u00bb en el directorio \u00abwp-includes\u00bb de WordPress.<\/li>\n<li>Exfiltre los datos que contienen la URL del sitio, la clave secreta de la puerta trasera, el nombre de host, la versi\u00f3n de Smart Slider 3, la versi\u00f3n de WordPress y la versi\u00f3n de PHP, la direcci\u00f3n de correo electr\u00f3nico del administrador de WordPress, el nombre de la base de datos de WordPress, el nombre de usuario y la contrase\u00f1a en texto plano de la cuenta del administrador y una lista de todos los m\u00e9todos de persistencia instalados en el dominio de comando y control (C2) \u00abwpjs1[.]com.\u00bb<\/li>\n<\/ul>\n<p>\u00abEl malware opera en varias etapas, cada una dise\u00f1ada para garantizar un acceso profundo, persistente y redundante al sitio comprometido\u00bb, dijo Patchstack.<\/p>\n<p>\u00abLa sofisticaci\u00f3n de la carga \u00fatil es notable: en lugar de un simple webshell, el atacante implement\u00f3 un conjunto de herramientas de persistencia de m\u00faltiples capas con varios puntos de reentrada independientes y redundantes, ocultaci\u00f3n del usuario, ejecuci\u00f3n de comandos resistente con cadenas de respaldo y registro C2 autom\u00e1tico con exfiltraci\u00f3n completa de credenciales.<\/p>\n<p>Vale la pena se\u00f1alar que la versi\u00f3n gratuita del complemento de WordPress no se ve afectada. Para contener el problema, Nextend cerr\u00f3 sus servidores de actualizaci\u00f3n, elimin\u00f3 la versi\u00f3n maliciosa e inici\u00f3 una investigaci\u00f3n completa sobre el incidente.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fast-response-not-fast-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjgi9mu68zRUz1nCLLKmkAA2aBtNfP_JOTXulZoB6yImso1Onk7oM_LI0kdROu8fq5S5oDyMtd1j50W44Ye_8Sl3zQZiE8A9tmFr6kejGKjGh74uoxluF-RyBq_unDQlzjXZHCqQeuYXBoogda5zf0w-zXd6v0rIM7fEw6TcFf_QGWBu5Mop-djkEaOUa5A\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Se recomienda a los usuarios que tengan instalada la versi\u00f3n troyanizada que actualicen a la versi\u00f3n 3.5.1.36. Adem\u00e1s, se recomienda a los usuarios que hayan instalado la versi\u00f3n fraudulenta que realicen la <a href=\"https:\/\/smartslider.helpscoutdocs.com\/article\/2144-wordpress-security-advisory-smart-slider-3-pro-3-5-1-35-compromise\">siguientes pasos de limpieza<\/a> \u2013<\/p>\n<ul>\n<li>Compruebe si hay cuentas de administrador sospechosas o desconocidas y elim\u00ednelas.<\/li>\n<li>Elimine Smart Slider 3 Pro versi\u00f3n 3.5.1.35 si est\u00e1 instalado.<\/li>\n<li>Reinstale una versi\u00f3n limpia del complemento.<\/li>\n<li>Elimine todos los archivos de persistencia que permitan que la puerta trasera persista en el sitio.<\/li>\n<li>Elimine las opciones maliciosas de WordPress de la tabla \u00abwp_options\u00bb: _wpc_ak, _wpc_uid, _wpc_uinfo, _perf_toolkit_source y wp_page_for_privacy_policy_cache.<\/li>\n<li>Limpie el archivo \u00abwp-config.php\u00bb, incluida la eliminaci\u00f3n de \u00abdefine(&#8216;WP_CACHE_SALT&#8217;, &#8216;<token>&#8216;);\u00bb si existe.<\/token><\/li>\n<li>Elimina la l\u00ednea \u00ab#WPCacheSalt <token>\u00bb del archivo \u00ab.htaccess\u00bb ubicado en la carpeta ra\u00edz de WordPress.<\/token><\/li>\n<li>Restablezca las contrase\u00f1as de administrador y usuario de la base de datos de WordPress.<\/li>\n<li>Cambie FTP\/SSH y las credenciales de la cuenta de hosting.<\/li>\n<li>Revise el sitio web y los registros para detectar cambios no autorizados y solicitudes POST inusuales.<\/li>\n<li>Habilite la autenticaci\u00f3n de dos factores (2FA) para administradores y deshabilite la ejecuci\u00f3n de PHP en la carpeta de cargas.<\/li>\n<\/ul>\n<p>\u00abEste incidente es un compromiso cl\u00e1sico de la cadena de suministro, del tipo que hace que las defensas perimetrales tradicionales sean irrelevantes\u00bb, dijo Patchstack. \u00abLas reglas gen\u00e9ricas de firewall, la verificaci\u00f3n no \u00fanica, los controles de acceso basados \u200b\u200ben roles, ninguno de ellos se aplica cuando el c\u00f3digo malicioso se entrega a trav\u00e9s del canal de actualizaci\u00f3n confiable. El complemento es el malware\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Actores de amenazas desconocidos han secuestrado el sistema de actualizaci\u00f3n del complemento Smart Slider 3 Pro para WordPress y Joomla para impulsar una versi\u00f3n envenenada que contiene una puerta trasera. El incidente afecta a Smart Slider 3 Pro versi\u00f3n 3.5.1.35 para WordPress, seg\u00fan la empresa de seguridad de WordPress Patchstack. Smart Slider 3 es un [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[109,1084,31,24,1711,1712,1710,32,87,1709,310,33,76],"class_list":["post-518","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-actualizacion","tag-comprometidos","tag-con","tag-cyberdefensa-mx","tag-distribuida","tag-nextend","tag-pro","tag-puerta","tag-servidores","tag-slider","tag-smart","tag-trasera","tag-traves"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/518","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=518"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/518\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=518"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=518"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=518"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}