- 27,637
- 46
- 8 Ноя 2022
Что стоит за атакой на плагины Awesome Motive и почему масштаб до сих пор не установлен точно.
Злоумышленники нашли способ попасть на сайты WordPress через популярные расширения, которым владельцы ресурсов доверяли без лишних вопросов. Атака затронула код OptinMonster, TrustPulse и PushEngage, а потенциальная зона риска превысила 1,2 млн сайтов.
О кампании сообщили специалисты Sansec. По данным компании, вредоносный JavaScript добавили в легитимные файлы, которые компания Awesome Motive раздавала клиентским сайтам через свои домены. В результате злоумышленникам не нужно было взламывать каждый ресурс отдельно. Достаточно было подменить один файл на стороне поставщика, после чего заражённый код автоматически загружался у всех клиентов, использовавших затронутые расширения.
Вредоносный код не срабатывал для обычных посетителей. Скрипт ждал, пока на сайт зайдёт администратор WordPress, затем пытался создать новую учётную запись с правами администратора и установить скрытый вредоносный модуль. Собранные данные отправлялись на домен tidio.cc, похожий на настоящий сервис tidio.com.
По данным Sansec, у OptinMonster больше 1 млн активных установок WordPress. TrustPulse и PushEngage увеличивают общий масштаб инцидента. Кампания продолжалась как минимум с 13 июня 2026 года, а пользователи OptinMonster параллельно жаловались на сбои в работе сервиса.
Вредоносный код проверял, не запущен ли сайт в автоматизированной среде, искал признаки входа администратора и не срабатывал повторно ранее чем через 24 часа. Затем скрипт определял путь к WordPress, собирал служебные токены и пытался создать администратора несколькими способами, включая форму добавления пользователя, служебные запросы WordPress и конечную точку wp/v2/users.
После успешного доступа на сайте появлялась учётная запись developer_api1 с адресом customer1usx@gmail.com либо случайные записи формата dev_xxxxxx. Затем устанавливался скрытый модуль, который маскировался под легитимное расширение. Его видели под названиями Content Delivery Helper и Database Optimizer.
Главная опасность модуля была не в том, что он себя маскировал, а в его возможностях. Он скрывал себя из списка расширений, из проверок обновлений и из списка недавно активных модулей, но при этом открывал злоумышленникам веб-оболочку и позволял выполнять код на сервере без дополнительной авторизации.
Patchstack уже зафиксировала реальные попытки эксплуатации. За 14 и 15 июня специалисты заблокировали 271 попытку создать вредоносного администратора на 13 сайтах. Большинство запросов шло через wp/v2/users, что совпадает с логикой атаки, описанной Sansec.
Awesome Motive объяснила инцидент взломом через известную уязвимость в расширении UpdraftPlus . По версии компании, атакующий получил доступ к серверу маркетингового сайта, нашёл там ключ к сети доставки контента и использовал его, чтобы подменить файлы, которые загружались на сайты клиентов. Обнаружив вмешательство, компания вернула исходные файлы, очистила кэш, сменила ключи и перенесла маркетинговый сайт на новую инфраструктуру.
Владельцам сайтов с OptinMonster, TrustPulse или PushEngage стоит проверить не только панель управления WordPress, но и файлы на сервере. В зоне риска находятся сайты, где администратор входил в панель, пока злоумышленники подменяли файлы. Нужно искать учётную запись developer_api1, адрес customer1usx@gmail.com , пользователей формата dev_xxxxxx, а также папки content-delivery-helper и database-optimizer внутри wp-content/plugins.
Если сайт оказался скомпрометирован, просто сменить пароль будет недостаточно. Такой сайт нужно считать полностью взломанным, поскольку вредоносный модуль давал атакующим возможность выполнять код на сервере. В таком случае администраторам придётся удалить скрытый модуль, сменить пароли и секретные ключи, проверить файлы WordPress и журналы сервера, а также убедиться, что злоумышленники не оставили дополнительные точки входа.
Злоумышленники нашли способ попасть на сайты WordPress через популярные расширения, которым владельцы ресурсов доверяли без лишних вопросов. Атака затронула код OptinMonster, TrustPulse и PushEngage, а потенциальная зона риска превысила 1,2 млн сайтов.
О кампании сообщили специалисты Sansec. По данным компании, вредоносный JavaScript добавили в легитимные файлы, которые компания Awesome Motive раздавала клиентским сайтам через свои домены. В результате злоумышленникам не нужно было взламывать каждый ресурс отдельно. Достаточно было подменить один файл на стороне поставщика, после чего заражённый код автоматически загружался у всех клиентов, использовавших затронутые расширения.
Вредоносный код не срабатывал для обычных посетителей. Скрипт ждал, пока на сайт зайдёт администратор WordPress, затем пытался создать новую учётную запись с правами администратора и установить скрытый вредоносный модуль. Собранные данные отправлялись на домен tidio.cc, похожий на настоящий сервис tidio.com.
По данным Sansec, у OptinMonster больше 1 млн активных установок WordPress. TrustPulse и PushEngage увеличивают общий масштаб инцидента. Кампания продолжалась как минимум с 13 июня 2026 года, а пользователи OptinMonster параллельно жаловались на сбои в работе сервиса.
Вредоносный код проверял, не запущен ли сайт в автоматизированной среде, искал признаки входа администратора и не срабатывал повторно ранее чем через 24 часа. Затем скрипт определял путь к WordPress, собирал служебные токены и пытался создать администратора несколькими способами, включая форму добавления пользователя, служебные запросы WordPress и конечную точку wp/v2/users.
После успешного доступа на сайте появлялась учётная запись developer_api1 с адресом customer1usx@gmail.com либо случайные записи формата dev_xxxxxx. Затем устанавливался скрытый модуль, который маскировался под легитимное расширение. Его видели под названиями Content Delivery Helper и Database Optimizer.
Главная опасность модуля была не в том, что он себя маскировал, а в его возможностях. Он скрывал себя из списка расширений, из проверок обновлений и из списка недавно активных модулей, но при этом открывал злоумышленникам веб-оболочку и позволял выполнять код на сервере без дополнительной авторизации.
Patchstack уже зафиксировала реальные попытки эксплуатации. За 14 и 15 июня специалисты заблокировали 271 попытку создать вредоносного администратора на 13 сайтах. Большинство запросов шло через wp/v2/users, что совпадает с логикой атаки, описанной Sansec.
Awesome Motive объяснила инцидент взломом через известную уязвимость в расширении UpdraftPlus . По версии компании, атакующий получил доступ к серверу маркетингового сайта, нашёл там ключ к сети доставки контента и использовал его, чтобы подменить файлы, которые загружались на сайты клиентов. Обнаружив вмешательство, компания вернула исходные файлы, очистила кэш, сменила ключи и перенесла маркетинговый сайт на новую инфраструктуру.
Владельцам сайтов с OptinMonster, TrustPulse или PushEngage стоит проверить не только панель управления WordPress, но и файлы на сервере. В зоне риска находятся сайты, где администратор входил в панель, пока злоумышленники подменяли файлы. Нужно искать учётную запись developer_api1, адрес customer1usx@gmail.com , пользователей формата dev_xxxxxx, а также папки content-delivery-helper и database-optimizer внутри wp-content/plugins.
Если сайт оказался скомпрометирован, просто сменить пароль будет недостаточно. Такой сайт нужно считать полностью взломанным, поскольку вредоносный модуль давал атакующим возможность выполнять код на сервере. В таком случае администраторам придётся удалить скрытый модуль, сменить пароли и секретные ключи, проверить файлы WordPress и журналы сервера, а также убедиться, что злоумышленники не оставили дополнительные точки входа.
- Источник новости
- www.securitylab.ru
