bonjour

Les pistes sont trés nombreuses :

- Si vous avez des employés, voir ceux qui sont en accès à l'admin (et oui malheureusement ca arrive)

- Voir du coté des PC si il y a pas un virus qui sniffe les mots de passe

- Voir si tous les patchs de sécurité préconisé par Magento sont appliqués

- Voir si il n' y a pas du code malveillants dans les fichiers du module.

- Regarder les droit d'accès au fichiers

- .....

Fastidieux mais vous pouvez aussi regarder du coté des logs, ca peut donner une piste sur le procéder utilisé.

En attendant si le pirate a accès à votre admin, ca veut aussi dire qu'il a accès a tous comme les données clients et peut aussi accéder aux modules de paiement CB et donc 

Et je suis surpris que Paypal ne vous aide pas plus car l'adresse mail associée au compte du "pirate" est forcément associé à un utilisateur enregistré chez eux (probablement avec des fausses informations sur l'identité mais probablement avec un compte bancaire associé)

Perso, si je devais intervenir chez un client pour ce genre de problème, je commencerai pas changer les chemin d'accès,les utilisateurs et les  mots de passe. (c'est une toute petite rustine mais si le pirate est débutant ça peut calmer les choses) Et ensuite je chercherai la méthode d'intrusion.

Bon courage