Ataque à cadeia de fornecimento compromete plugin do WordPress e coloca sites em risco

O Gravity Forms, um dos plugins mais utilizados para criar formulários avançados em sites WordPress, esteve no centro de um incidente de cibersegurança depois de ter sido descoberto um backdoor num pacote do plugin. A violação foi revelada pela Patchstack, que detalhou como o código malicioso foi incorporado numa versão disponibilizada para download manual no site oficial.

Desenvolvido pela Rocketgenius, o Gravity Forms está presente em mais de cinco milhões de sites, segundo dados da própria empresa. A gravidade do incidente levantou preocupações imediatas na comunidade WordPress, embora o fabricante tenha garantido que o problema ficou confinado a um conjunto restrito de utilizadores.

O CEO da Rocketgenius, Carl Hancock, sublinhou à SC Media que “a janela para um utilizador descarregar a versão comprometida foi extremamente curta” e reforçou que o ataque não envolveu o servidor de atualizações automáticas. “Não foi o nosso servidor de API/Licenciamento/Implantação/Atualização que esteve envolvido, pois está isolado numa infraestrutura de alojamento separada”, clarificou.

O backdoor comunicava com o domínio typosquatted gravityapi[.]org, entretanto suspenso. Sempre que o plugin infetado era ativado, enviava informações do site WordPress, como o URL, o nome do site, as versões do WordPress Core e do PHP, para esse domínio fraudulento.

Em resposta, o servidor malicioso devolvia dados codificados em base64, que eram gravados no ficheiro wp-includes/bookmark-canonical.php. Este código incluía funções perigosas, permitindo ao atacante executar chamadas eval() sem qualquer autenticação, o que abria a porta a execução remota de código (RCE).

Impactos do código malicioso no plugin

Foram identificadas rotinas adicionais suspeitas na função list_sections(), o que permite ao atacante acionar processos como criar ou eliminar contas de utilizador, realizar uploads de ficheiros e executar mais código codificado via eval().

A Rocketgenius garante que o incidente foi rapidamente contido. “Estamos cientes de como o comprometimento ocorreu, o problema foi resolvido e mitigado pela nossa equipa de resposta no próprio dia. Já contactámos os utilizadores que poderiam ter sido afetados. É um número muito pequeno de pessoas”, afirmou Carl Hancock à SC Media.

O comunicado de segurança do Gravity Forms apontou para um “agente externo” que conseguiu modificar o código do plugin sem autorização. No entanto, não foram divulgados mais detalhes técnicos sobre a forma exata como o ataque foi conduzido.

De acordo com o alerta, o problema afetou unicamente quem descarregou manualmente o Gravity Forms nas seguintes circunstâncias: a versão 2.9.11.1 nos dias 9 ou 10 de julho de 2025, por meio da página de downloads da conta do Gravity Forms; quem executou uma instalação do composer nessas mesmas datas; ou quem instalou manualmente a versão 2.9.12 no dia 10 de julho.

Por outro lado, os utilizadores que receberam a versão 2.9.12 através de atualização automática no painel do WordPress não foram afetados. A Rocketgenius garante também que a versão mais recente, 2.9.13, está livre de problemas e é segura para instalação.

Para verificar a eventual presença do malware, o Gravity Forms recomenda visitar URL específicos adaptados ao domínio de cada site e à localização da pasta wp-content, caso tenha sido personalizada. Se um plugin infetado estiver presente, o acesso a esses URL gerará um aviso com referência à pasta do utilizador.

Os sites comprometidos devem ser restaurados a partir de backups anteriores a 9 de julho de 2025, para assegurar a eliminação do malware e de possíveis injeções adicionais. A empresa sugere igualmente o bloqueio de acessos ao domínio gravityapi[.]org e aos endereços IP maliciosos indicados nos avisos do Gravity Forms e da Patchstack.

Também é recomendada uma auditoria de segurança que inclua a análise de contas de utilizador recentemente criadas, contas com privilégios de administrador, plugins instalados e outros registos relevantes, de forma a garantir que não persistem alterações não autorizadas.

Por fim, quem precisar de remover uma instalação potencialmente comprometida deve seguir o procedimento indicado pela Gravity Forms: desativar, eliminar e substituir o plugin, em vez de apenas o desinstalar, para evitar que fragmentos do código malicioso permaneçam no sistema.

Este caso surge pouco depois de outro incidente que envolveu o plugin Groundhogg, também para WordPress, comprometido no final de junho. Nesse episódio, o fundador da Groundhogg, Adrian Tobey, explicou que apenas as versões descarregadas diretamente do site Groundhogg[.]io foram afetadas, tendo as versões alojadas no GitHub permanecido seguras.