OptinMonster WordPress Plugin bei Supply-Chain-Angriff gehackt – Veri Sızıntısı
Live
Suche
Unternehmen
Über uns Gründernotiz Presse & Medien Datenschutzerklärung Nutzungsbedingungen FAQ Brand Kit
Produkte
HUBOne HUBCorp Demnächst Veri Sızıntısı Android Demnächst Veri Sızıntısı iOS Demnächst Veri Sızıntısı Huawei Demnächst Breach Radar Argus Flow Argus Engine LivePlatform
Technologien
Was ist Argus AI? In HUBOne ausprobieren Was ist Argus Flow? Was ist Argus Engine?
Blog Kontakt

OptinMonster WordPress Plugin gehackt

Die beliebten WordPress-Plugins OptinMonster, TrustPulse und PushEngage wurden bei einem Supply-Chain-Angriff auf das Content Distribution Network (CDN) ihrer Muttergesellschaft Awesome Motive kompromittiert. Der Angriff zielte darauf ab, Admin-Sitzungen und Formulardaten über eine bösartige JavaScript-Datei zu stehlen.

Ein konzeptionelles Bild, das ein zerbrochenes Kettenglied mit dem WordPress-Logo im Hintergrund zeigt.

Was ist passiert

Das WordPress-Ökosystem wurde von einem großen Cyberangriff erschüttert, der auf beliebte Plugins abzielte, denen Millionen von Websites vertrauen. Laut Informationen, die am 15. Juni 2026 öffentlich wurden, fielen die Plugins OptinMonster, TrustPulse und PushEngage, die alle dem Unternehmen Awesome Motive gehören, einem raffinierten Supply-Chain-Angriff zum Opfer, der über das Content Distribution Network (CDN) des Unternehmens durchgeführt wurde. Dieser Angriff führte zur Einschleusung von bösartigem JavaScript-Code in Websites, die diese Plugins verwenden, um Daten von Besuchern und Website-Administratoren zu stehlen.

Der Vorfall wurde von Forschern des Cybersicherheitsunternehmens Wordfence entdeckt. Die Forscher stellten fest, dass eine legitime JavaScript-Datei, die die Plugins laden sollten, durch eine von den Angreifern kontrollierte Version ersetzt worden war, die eine äußerst gefährliche Backdoor enthielt. Dies bedeutete, dass Websites, die das Plugin verwendeten, automatisch infiziert wurden, ohne dass die Website-Besitzer Änderungen vornehmen oder einen Fehler machen mussten. Die Tatsache, dass Code aus einer vertrauenswürdigen Quelle tatsächlich bösartig war, zeigt einmal mehr, wie gefährlich Supply-Chain-Angriffe sein können.

Der Angriff soll am 12. Juni 2026 begonnen haben und wurde am 14. Juni 2026 von den Sicherheitsteams von Awesome Motive eingedämmt. Es wird angenommen, dass eine große Anzahl von WordPress-Websites, die diese beliebten Plugins betreiben, während dieses zweitägigen Zeitfensters zu Zielen für die Angreifer wurden. Nach der Entdeckung des Angriffs handelte das Unternehmen schnell, deaktivierte das betroffene CDN und stellte sicher, dass saubere Dateien automatisch an alle Benutzer verteilt wurden. Doch selbst dieser kurze Zeitraum könnte für die Angreifer ausgereicht haben, um eine erhebliche Menge an Daten zu sammeln und die Kontrolle über Websites zu erlangen.

Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.

Jetzt Prüfen →

Welche Daten wurden kompromittiert

Das Hauptziel des Angriffs war die Exfiltration sensibler Informationen von den betroffenen Websites. Der eingeschleuste bösartige JavaScript-Code war speziell darauf ausgelegt, zwei Arten von Daten anzugreifen: Formulardaten und Sitzungs-Cookies von Administratoren.

Erstens überwachte der Code heimlich Formularübermittlungen auf der Website. Das bedeutet, dass immer, wenn ein Besucher ein Kontaktformular, ein Newsletter-Abonnementfeld oder ein anderes Dateneingabefeld ausfüllte, alle eingegebenen Informationen an die Server der Angreifer gesendet wurden. Die kompromittierten Daten könnten persönliche Informationen wie die folgenden enthalten:

  • Vollständige Namen
  • E-Mail-Adressen
  • Telefonnummern
  • Alle anderen privaten oder sensiblen Informationen, die Benutzer in Formulare eingegeben haben

Der Diebstahl dieser Art von Daten kann für Phishing-Angriffe, Identitätsdiebstahl und andere betrügerische Aktivitäten verwendet werden. Besucher, die dachten, sie übermittelten Informationen an eine vertrauenswürdige Website, gaben ihre Daten tatsächlich direkt an Cyberkriminelle weiter.

Das zweite und vielleicht gefährlichere Ziel waren die Sitzungs-Cookies von Benutzern, die im WordPress-Admin-Panel angemeldet waren. Durch den Diebstahl dieser Cookies konnten Angreifer die Sitzungen von Website-Administratoren kapern. Dies ermöglichte ihnen vollen Zugriff auf das Admin-Panel, ohne das Passwort des Administrators zu kennen, indem sie einfach die aktive Sitzung klonten. Es gibt fast keine Grenzen für das, was ein Angreifer mit Admin-Zugriff auf einer WordPress-Website tun kann. Sie könnten beispielsweise neue, versteckte Administratorkonten erstellen, den Inhalt der Website ändern, Besucher auf bösartige Websites umleiten, persistentere Malware auf der Website installieren oder die Website in einen Teil eines Botnetzes verwandeln. Kurz gesagt, diese Methode gab ihnen die vollständige Kontrolle über die Website.

Wie der Angriff geschah

Was diesen Vorfall besonders beunruhigend macht, ist die Art und Weise, wie der Angriff ausgeführt wurde. Im Gegensatz zu einem klassischen Website-Hack war dies ein Supply-Chain-Angriff. Anstatt Tausende einzelner Websites nacheinander anzugreifen, zielten die Angreifer auf einen einzigen zentralen Punkt, dem diese Websites vertrauten: das Content Distribution Network (CDN) von Awesome Motive.

Ein CDN ist ein Dienst, der die statischen Dateien einer Website, wie Bilder, CSS und JavaScript, auf weltweit verteilten Servern hostet, damit die Website schneller geladen werden kann. Die meisten Website-Besitzer vertrauen diesen Diensten und gehen davon aus, dass die von ihnen stammenden Dateien sicher sind. Genau dieses Vertrauen nutzten die Angreifer aus. Sie schafften es irgendwie, in das CDN von Awesome Motive einzudringen und ersetzten eine der legitimen JavaScript-Dateien, die von Plugins wie OptinMonster verwendet werden, durch eine Datei, die ihren eigenen bösartigen Code enthielt.

Laut dem Quellenbericht wurde der bösartige Code von //app.feedbackwp.com/beta/sdk.js geladen. Jede WordPress-Website, die diese Plugins verwendete, rief diese gefälschte Datei automatisch auf und führte sie aus, wenn eine Seite für einen Besucher geladen wurde. Infolgedessen führte die Website den Code der Angreifer im Hintergrund aus, auch wenn der Website-Besitzer oder Besucher nichts Verdächtiges tat. Die technischen Details des Angriffs, insbesondere wie die Angreifer erstmals Zugang zum CDN erlangten, wurden noch nicht veröffentlicht. Die Konsequenzen sind jedoch sehr klar: Ein Update oder eine Datei aus einer vertrauenswürdigen Quelle diente als trojanisches Pferd, um Tausende von Websites gleichzeitig zu infizieren.

Wer ist betroffen

Die direkten Opfer des Angriffs waren Websites, die drei sehr beliebte WordPress-Plugins von Awesome Motive verwendeten:

  • OptinMonster: Ein Marketing-Plugin, das im Allgemeinen zum Aufbau von E-Mail-Listen, zur Lead-Generierung und zur Steigerung der Konversionsraten verwendet wird. Es ist bekannt, dass es auf Millionen von Websites aktiv ist.
  • TrustPulse: Ein Marketing-Tool, das Social Proof erzeugt, indem es Besuchern die Aktionen anderer Benutzer anzeigt, z. B. Käufe oder Anmeldungen.
  • PushEngage: Ein Dienst, mit dem Websites Push-Benachrichtigungen an ihre Besucher senden können.

Die Gemeinsamkeit dieser Plugins ist ihre große Nutzerbasis und ihre Beliebtheit bei marketingorientierten Websites. Dies bedeutet, dass zu den betroffenen Websites eine Vielzahl von Plattformen gehören, wie z. B. E-Commerce-Shops, Blogs, Nachrichtenportale und Unternehmenswebsites. Eine offizielle Zahl für die Gesamtzahl der betroffenen Websites oder Benutzer wurde noch nicht veröffentlicht, aber angesichts der Beliebtheit dieser Plugins kann geschätzt werden, dass potenziell Hunderttausende, wenn nicht Millionen von Websites gefährdet waren.

Was Sie tun können

Wenn Sie eines der Plugins OptinMonster, TrustPulse oder PushEngage auf Ihrer Website verwenden, sollten Sie einige Schritte unternehmen. Obwohl Awesome Motive erklärt hat, dass sie automatisch saubere Dateien zur Lösung des Problems bereitgestellt haben, ist es wichtig, vorsichtig zu sein.

  1. Überprüfen Sie den Quellcode Ihrer Website: Öffnen Sie Ihre Website in Ihrem Browser, klicken Sie mit der rechten Maustaste und wählen Sie "Seitenquelltext anzeigen". Suchen Sie im angezeigten Code nach der Zeichenfolge app.feedbackwp.com/beta/sdk.js. Wenn Sie diese Zeile finden, lädt Ihre Website möglicherweise immer noch den bösartigen Code. Der erste Schritt sollte darin bestehen, Ihren Browser- und Website-Cache zu leeren.
  2. Überprüfen Sie die WordPress-Admin-Benutzer: Gehen Sie zum Abschnitt "Benutzer" in Ihrem WordPress-Admin-Panel. Suchen Sie nach Administratorkonten, die Sie nicht erkennen oder die verdächtig aussehen. Angreifer haben möglicherweise ein verstecktes Administratorkonto für sich selbst erstellt, nachdem sie Ihre Sitzung gekapert haben. Wenn Sie ein verdächtiges Konto finden, löschen Sie es sofort.
  3. Ändern Sie Ihre Passwörter: Es ist eine gute Idee, die Passwörter für alle Administratoren- und Redakteur-Konten zu ändern. Obwohl das Kapern von Sitzungen keinen direkten Passwort-Leak bedeutet, sollte dies als Vorsichtsmaßnahme erfolgen.
  4. Führen Sie einen Sicherheitsscan auf Ihrer Website durch: Führen Sie einen vollständigen Scan Ihrer Website mit einem WordPress-Sicherheits-Plugin wie Wordfence, Sucuri oder MalCare durch. Diese Tools können Ihnen helfen, andere Backdoors oder bösartige Dateien zu erkennen, die die Angreifer möglicherweise hinterlassen haben.

Was das Unternehmen sagt

Nach dem Vorfall gab Awesome Motive eine Erklärung für seine Benutzer und die Öffentlichkeit ab. Das Unternehmen bestätigte, dass seine Sicherheitsteams am 14. Juni 2026 unbefugten Zugriff auf ihr CDN entdeckt und blockiert hatten. In ihrer Erklärung erwähnten sie, dass Angreifer einen ihrer Server kompromittiert und einige JavaScript-Dateien modifiziert hatten. Sie betonten, dass der CDN-Server, der die Quelle des Problems war, sofort offline genommen wurde und dass saubere Dateien automatisch an alle Kunden ausgeliefert wurden.

Laut dem Unternehmen ist das Problem vollständig gelöst, und die Websites der Kunden liefern nun die korrekten, sicheren Dateien aus. Awesome Motive erklärte, dass sie schnell gehandelt hätten, um die Auswirkungen des Vorfalls zu mildern, und ihre Sicherheitsmaßnahmen verstärken, um ähnliche Ereignisse in Zukunft zu verhindern. Sie teilten jedoch keine weiteren technischen Details über die eigentliche Ursache des Angriffs oder wie die Angreifer Zugang zum CDN erlangten.

Quelle

https://www.bleepingcomputer.com/news/security/optinmonster-wordpress-plugin-hacked-in-cdn-supply-chain-attack/

Artikel teilen
X LinkedIn WhatsApp
← Vorheriger Beitrag Datenleck bei Infinite Campus betrifft 137.000 Schulmitarbeiter Nächster Beitrag → Europarat untersucht Datenleck-Vorwürfe von ShinyHunters

Wöchentlicher Newsletter

Kuratierte Datenpannennews jede Woche in Ihrem Posteingang.