Ett annat alternativ skulle kunna vara det faktum att buddypress använder sig av qtip, som tydligen blev attackerat förra veckan. Om buddypress uppdaterades nyligen och skrev över aktuell version av jquery etc skulle det kunna vara boven. Koden du länkar till liknar inget av det som jag sett injectats tidigare genom timthumb.
läs mer på
http://dan.cx/blog/2011/11/pulling-apart-wordpress-hack samt
https://github.com/Craga89/qTip2/issues/286