Ataque supply chain en WordPress: Roban semillas 2FA de ShapedPlugin

descargar el payload de segunda etapa. Para no dejar rastros en auditorías forenses, el archivo LicenseLoader.php ejecuta una rutina de autodestrucción inmediata. Borra el archivo del servidor de la víctima y elimina el hook de carga dentro del archivo del plugin original (como TestimonialPRO.php), eliminando la evidencia de su entrada inicial.

(107 words)

Fase 3: El falso plugin woocommerce-subscription y la persistencia

El payload de segunda etapa se instala en la ruta wp-content/plugins/woocommerce-subscription/. Los atacantes usaron intencionalmente la palabra en singular “subscription” para confundirse con el plugin oficial “WooCommerce Subscriptions” (en plural). En ocasiones también usaron el directorio woocommerce-notification.

Este falso plugin se oculta de la lista activa de extensiones en el panel de WordPress para evadir la vista del administrador. Una vez instalado, proporciona un kit completo de herramientas ofensivas que incluye:

• Tiny File Manager 2.6: Permite gestionar, subir, descargar y editar archivos de todo el servidor web de la víctima de forma directa.
• Adminer 5.2.1: Una interfaz de administración de bases de datos para ejecutar comandos SQL directamente sobre las tablas del CMS.
• Un Backdoor en la REST API: El archivo install-persistent.php registra