Pesquisadores descobriram um grupo de hackers que têm publicado uma variedade de temas para WordPress e plugins para Joomla em sites, assim no futuro desenvolvedores fazerem download e instalam os em seus próprios sites. Os componentes em seguida dão aos hackers controle remoto dos sites comprometidos. Pesquisadores dizem que o ataque pode ter sido em desde setembro de 2013.
Muitos clientes fazem download destes temas e plugins a fim de não pagar taxas cobrada pelo desenvolvedor dos temas e plugins e com isso acabam adquirindo o malware sem que saibam.
O malware conhecido como
CryptPHP não veio do editor original (Provedor de Serviços Joomla ou Wordpress), mas sim a partir de um site de terceiros alegando ser "o" lugar para scripts '
nulled'. O conceito de scripts
nulled é semelhante ao software pirata. Sem os controles de licenciamento, em suma é pirataria.
Ao investigar o site '
nulledstylez.com' foi descoberto que todos os plugins piratas, temas e extensões continha o mesmo
backdoor. Ao fazer um espelho de todo o conteúdo publicado no site, foram encontrados alguns arquivos ZIP com um comentário semelhante como o do incidente inicial, mas referindo-se a um domínio diferente. Este site '
dailynulled.com' foi semelhante ao '
nulledstylez.com' na medida em que também publicou extensões, temas e plugins piratas para o WordPress, Joomla e Drupal. Todos esses sites que publicam conteúdo semelhante, são geridos pelos mesmos autores. Todos os conteúdos fornecidos por estes sites é
backdoored com
CryptoPHP.