As part of our monitoring the WordPress Support Forum for indications of vulnerabilities in plugins that we should be warning our customers about, we came across this review of the plugin Melhor Envio:

O plugin da melhor envio está com o trojan denominado JS:Trojan.Cryxos faz quase um mês, e mesmo eu entrando em contato com o suporte e tendo provado isso por diversas vezes, o plugin continua disponível para download com o Trojan. Meu site foi retirado do ar cinco vezes pela wordpress.com e chegou a ter 645 arquivos contaminados por esse malware. [Read more]