Detectan malware en el plugin oficial de GravityForms en un aparente compromiso de la cadena de suministro

 (patchstack.com)
1 puntos por GN⁺ 2025-07-14 | 1 comentarios | Compartir por WhatsApp
  • Se detectó código malicioso en la versión más reciente del plugin GravityForms para WordPress
  • Se trata de una situación en la que la distribución oficial fue infectada debido a un compromiso de la cadena de suministro (supply chain breach)
  • GravityForms es ampliamente usado como creador de formularios en múltiples sitios web
  • Investigadores de seguridad están analizando el alcance y la gravedad del incidente
  • Se enfatiza la necesidad de revisar y reemplazar rápidamente el plugin en los sitios web que lo utilizan

Resumen del compromiso de la cadena de suministro en GravityForms

  • Recientemente se detectó malware en el plugin oficial de WordPress GravityForms
  • Este incidente es considerado un caso representativo de compromiso de la cadena de suministro (Supply Chain Breach)
  • La infección ocurrió en la fuente oficial, lo que redujo la confianza tanto en instalaciones nuevas como en las ya existentes

GravityForms y el impacto en la seguridad

  • GravityForms es un plugin popular que facilita la creación y administración de formularios en sitios web basados en WordPress
  • Debido a su uso extendido, es muy probable que el alcance del daño de este ataque a la cadena de suministro sea considerable
  • El malware insertado en esta ocasión podría convertirse en una amenaza para la seguridad de todo el sitio web y de los datos de los usuarios

Investigación y respuesta

  • Expertos en seguridad están analizando la ruta de infección y, al mismo tiempo, investigan posibles casos adicionales de propagación
  • El malware distribuido por una vía oficial mediante un compromiso de la cadena de suministro sugiere que incluso el software que suele considerarse confiable puede quedar expuesto a riesgos

Recomendaciones para usuarios de GravityForms

  • Los operadores de sitios web que hayan instalado o actualizado GravityForms deben realizar de inmediato una verificación de integridad del plugin
  • Se recomienda seguir de cerca los anuncios de seguridad y las actualizaciones de los canales oficiales y, si hay sospechas, forzar la eliminación y reinstalación

Conclusión

  • Los ataques a la cadena de suministro amenazan la propia cadena de confianza y generan una importante alerta tanto para empresas como para desarrolladores
  • De cara al futuro, se enfatiza la importancia de la verificación y la vigilancia continua al elegir plugins y gestionar la seguridad

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-07-14
Opiniones en Hacker News

  • Se agradece mucho que un administrador de sistemas tan meticuloso haya detectado esta intrusión en la cadena de suministro mientras rastreaba solicitudes HTTP lentas.
    De forma parecida, en el caso de xz también hubo un desarrollador que notó como algo raro la degradación del rendimiento en los inicios de sesión por SSH y, al revisar con cuidado, terminó descubriendo la intrusión.

    • Antes el malware solía distinguirse con facilidad por la degradación del rendimiento del sistema, pero hoy, con hardware más rápido y redes más complejas, da la impresión de que detectar este tipo de cosas se ha vuelto mucho más difícil por defecto.
      La gente maliciosa también se vuelve cada vez más astuta, y nosotros seguimos armando sistemas con más componentes provenientes de más fuentes distintas.
      Preocupa ver, a largo plazo, cómo toda la infraestructura de TI va perdiendo confiabilidad de forma gradual.

  • En el aviso oficial de Gravity Forms (https://www.gravityforms.com/blog/security-incident-notice/) indican que solo se vieron afectados los casos en que Gravity Forms se descargó directamente desde su sitio web o se instaló con Composer.
    Hasta donde pude comprobar, el método de instalación con Composer también usa la API de Gravity Forms durante el proceso de obtención del paquete, así que comparte el mismo principio de funcionamiento que la función de actualizaciones automáticas dentro del plugin de Gravity Forms o plugins como WP-CLI.
    Me pregunto si el equipo de desarrollo de Gravity Forms encargará la investigación de este incidente a una empresa de seguridad externa.
    Por ahora no ha habido ninguna mención al respecto.

  • Según lo que me confirmó una persona del equipo de RocketGenius, este malware solo afecta las descargas manuales y las instalaciones con composer.
    Da un poco de alivio.

  • Si se hubiera usado un enfoque con nonce antes de verificar el form, buena parte de este problema se habría podido prevenir.
    Dicho de otro modo, por eso de repente podría hacer falta una gran cantidad de trabajo manual.

    • Entiendo el trasfondo técnico, pero como británico ese tipo de frase siempre me resulta un poco graciosa.

  • Me pregunto cuánto tiempo llevaba esto sin ser detectado.

  • Me parece muy bien que hayan encontrado el malware y actuado para frenar su propagación.
    Dicho eso, había un error algo confuso en el artículo.
    La fecha de la última actualización en la parte superior debería ser "Update 7-12-2025 06:00 UTC", pero aparece como 08-11-2025, una fecha futura.
    Supongo que el autor subió por error un dígito incorrecto.

    • Es natural confundirse con lo que significan los números.
      Es una buena lección de cómo se puede generar esta clase de confusión al imitar el formato ISO con guiones al estilo estadounidense, pero escribiendo mal el orden o el relleno.

  • Surgió la pregunta de hasta dónde llega el impacto de este incidente.
    Me pregunto si afecta hasta al 90% de los sitios de internet o solo a una minoría de sitios con poco tráfico.

    • Está en algún punto intermedio.
      Gravity Forms es un plugin premium de WordPress muy popular.
      Yo mantengo varios sitios en WordPress (no fue una plataforma que yo eligiera, pero no hubo de otra) y creo que, en diseño y funcionalidad, Gravity Forms es mejor que la mayoría de los plugins competidores (aunque consume bastante CPU).
      Tampoco da demasiados problemas, y como desarrollador he tenido una impresión positiva al tratar con Rocket Genius y gestionar tickets con ellos.
      Sí es un plugin bastante instalado en organizaciones pequeñas y medianas.
      No sé la cifra exacta, pero las estadísticas oficiales de popularidad en WordPress.org tienen la limitación de reflejar solo plugins gratuitos, así que en la práctica hay muchos sitios y mucho tráfico corriendo sobre esto.
      Aun así, la cantidad real de sitios expuestos al riesgo es limitada.
      Como el paquete comprometido no se incluyó en el canal principal de despliegue automático, los sitios realmente afectados fueron pocos.
    • Se recalca que solo se vieron afectados unos pocos sitios que descargaron manualmente la versión problemática.
      La mayoría de los archivos de actualización premium (de pago) se distribuyen a través del gateway de Gravity API (según se comenta, una estructura de llamadas a archivos basada en AWS), y esa ruta no se vio afectada.
      El servicio Gravity API se encarga de licencias, actualizaciones automáticas e instalación de add-ons, y no fue comprometido en ningún momento.
      Se informa que todas las actualizaciones de paquetes a través de ese servicio son seguras.
    • También se indicó que "la infección no parece haberse propagado ampliamente, lo que podría deberse a que la versión del plugin con la puerta trasera solo estuvo expuesta durante un periodo muy corto y se distribuyó a una cantidad muy reducida de usuarios".

  • Alguien comentó que fue comprometido por el grupo AB of Ac1dB1tch3z.

  • Surgió la opinión de que deberían escribir con claridad de qué plugin se trata.

    • Ya queda claro en el título: se trata del plugin oficial GravityForms.
      Este problema se corrigió en la v2.9.13, y en el registro oficial de cambios no se menciona el incidente.