Плагин OptinMonster для WordPress взломан в результате атаки на цепочку поставок – Veri Sızıntısı
Live
Поиск
Компания
О нас Слово основателя Пресса и СМИ Политика конфиденциальности Условия использования FAQ Пресс-кит
Продукты
HUBOne HUBCorp Скоро Veri Sızıntısı Android Скоро Veri Sızıntısı iOS Скоро Veri Sızıntısı Huawei Скоро Breach Radar Argus Flow Argus Engine LivePlatform
Технологии
Что такое Argus AI? Попробовать в HUBOne Что такое Argus Flow? Что такое Argus Engine?
Блог Контакты

Плагин OptinMonster для WordPress взломан

Популярные плагины для WordPress OptinMonster, TrustPulse и PushEngage были скомпрометированы в результате атаки на цепочку поставок, нацеленной на сеть доставки контента (CDN) их материнской компании Awesome Motive. Атака была направлена на кражу сессий администраторов и данных из форм через вредоносный JavaScript-файл.

Концептуальное изображение, показывающее сломанное звено цепи с логотипом WordPress на заднем плане.

Что произошло

Экосистема WordPress была потрясена крупной кибератакой, нацеленной на популярные плагины, которым доверяют миллионы веб-сайтов. Согласно информации, обнародованной 15 июня 2026 года, плагины OptinMonster, TrustPulse и PushEngage, принадлежащие компании Awesome Motive, стали жертвой сложной атаки на цепочку поставок, осуществленной через сеть доставки контента (CDN) компании. Эта атака привела к внедрению вредоносного JavaScript-кода на веб-сайты, использующие эти плагины, с целью кражи данных посетителей и администраторов сайтов.

Инцидент был обнаружен исследователями из компании по кибербезопасности Wordfence. Исследователи заметили, что легитимный JavaScript-файл, который должны загружать плагины, был заменен версией, содержащей очень опасный бэкдор, контролируемый злоумышленниками. Это означало, что сайты, использующие плагин, были автоматически заражены, и владельцам сайтов не нужно было вносить какие-либо изменения или совершать ошибки. Тот факт, что код, поступающий из доверенного источника, на самом деле был вредоносным, еще раз демонстрирует, насколько опасными могут быть атаки на цепочку поставок.

Сообщается, что атака началась 12 июня 2026 года и была локализована службой безопасности Awesome Motive 14 июня 2026 года. Предполагается, что за этот двухдневный период целями злоумышленников стало большое количество сайтов на WordPress, использующих эти популярные плагины. После обнаружения атаки компания действовала быстро, отключив затронутую CDN и обеспечив автоматическую доставку чистых файлов всем пользователям. Однако даже этот короткий период мог быть достаточным для того, чтобы злоумышленники собрали значительное количество данных и получили контроль над сайтами.

Ваш email в утечке? Проверьте бесплатно — результат за секунды.

Проверить →

Какие данные были скомпрометированы

Основной целью атаки была кража конфиденциальной информации с затронутых веб-сайтов. Внедренный вредоносный JavaScript-код был специально разработан для нацеливания на два типа данных: данные из форм и файлы cookie сессий администраторов.

Во-первых, код тайно отслеживал отправку форм на сайте. Это означает, что всякий раз, когда посетитель заполнял контактную форму, форму подписки на рассылку или любое другое поле для ввода данных, вся введенная информация отправлялась на серверы злоумышленников. Скомпрометированные данные могли включать личную информацию, такую как:

  • Имена и фамилии
  • Адреса электронной почты
  • Номера телефонов
  • Любая другая частная или конфиденциальная информация, которую пользователи вводили в формы

Кража такого рода данных может быть использована для фишинговых атак, кражи личных данных и других мошеннических действий. Посетители, думая, что они предоставляют информацию доверенному веб-сайту, на самом деле передавали свои данные непосредственно киберпреступникам.

Второй и, возможно, более опасной целью были файлы cookie сессий пользователей, вошедших в панель администратора WordPress. Похищая эти файлы cookie, злоумышленники могли перехватывать сессии администраторов сайтов. Это позволяло им получить полный доступ к панели администратора, не зная пароля администратора, просто клонировав активную сессию. Практически нет предела тому, что злоумышленник с доступом администратора может сделать с сайтом на WordPress. Например, они могли создавать новые, скрытые учетные записи администраторов, изменять содержимое сайта, перенаправлять посетителей на вредоносные сайты, устанавливать более стойкое вредоносное ПО на сайт или превращать сайт в часть ботнета. Короче говоря, этот метод давал им полный контроль над сайтом.

Как произошла атака

Что делает этот инцидент особенно тревожным, так это способ его осуществления. В отличие от классического взлома веб-сайта, это была атака на цепочку поставок. Вместо того чтобы атаковать тысячи отдельных веб-сайтов один за другим, злоумышленники нацелились на единую центральную точку, которой доверяли эти сайты: сеть доставки контента (CDN) компании Awesome Motive.

CDN — это сервис, который размещает статические файлы веб-сайта, такие как изображения, CSS и JavaScript, на серверах, распределенных по всему миру, что позволяет сайту загружаться быстрее. Большинство владельцев сайтов доверяют этим сервисам и предполагают, что файлы, поступающие от них, безопасны. Злоумышленники использовали именно это доверие. Им каким-то образом удалось взломать CDN Awesome Motive и заменить один из легитимных JavaScript-файлов, используемых плагинами вроде OptinMonster, на файл, содержащий их собственный вредоносный код.

Согласно исходному отчету, вредоносный код загружался с адреса //app.feedbackwp.com/beta/sdk.js. Любой сайт на WordPress, использующий эти плагины, автоматически вызывал и исполнял этот поддельный файл при загрузке страницы для посетителя. В результате, даже если владелец сайта или посетитель не делали ничего подозрительного, сайт начинал выполнять код злоумышленников в фоновом режиме. Технические детали атаки, в частности, как злоумышленники впервые получили доступ к CDN, пока не были обнародованы. Однако последствия очень ясны: обновление или файл из доверенного источника послужил троянским конем для одновременного заражения тысяч веб-сайтов.

Кто пострадал

Прямыми жертвами атаки стали веб-сайты, использующие три очень популярных плагина для WordPress, разработанных Awesome Motive:

  • OptinMonster: Маркетинговый плагин, обычно используемый для создания списков рассылки, привлечения потенциальных клиентов и увеличения конверсии. Известно, что он активен на миллионах веб-сайтов.
  • TrustPulse: Маркетинговый инструмент, который создает социальное доказательство, показывая посетителям действия других пользователей, такие как покупки или регистрации.
  • PushEngage: Сервис, который позволяет веб-сайтам отправлять push-уведомления своим посетителям.

Общей чертой этих плагинов является их большая база пользователей и популярность среди сайтов, ориентированных на маркетинг. Это означает, что среди затронутых сайтов есть самые разные платформы, такие как интернет-магазины, блоги, новостные порталы и корпоративные веб-сайты. Официальное число затронутых сайтов или пользователей пока не было опубликовано, но, учитывая популярность этих плагинов, можно предположить, что под угрозой находились потенциально сотни тысяч, если не миллионы, веб-сайтов.

Что вы можете сделать

Если вы используете один из плагинов OptinMonster, TrustPulse или PushEngage на своем веб-сайте, вам следует предпринять некоторые шаги. Хотя Awesome Motive заявила, что они автоматически распространили чистые файлы для решения проблемы, важно проявлять осторожность.

  1. Проверьте исходный код вашего сайта: Откройте свой сайт в браузере, щелкните правой кнопкой мыши и выберите «Просмотр кода страницы». Найдите строку app.feedbackwp.com/beta/sdk.js в появившемся коде. Если вы найдете эту строку, ваш сайт все еще может загружать вредоносный код. Первым шагом должна быть очистка кеша браузера и сайта.
  2. Проверьте пользователей-администраторов WordPress: Перейдите в раздел «Пользователи» в вашей панели администратора WordPress. Проверьте наличие любых учетных записей администраторов, которые вы не узнаете или которые выглядят подозрительно. Злоумышленники могли создать скрытую учетную запись администратора для себя после перехвата вашей сессии. Если вы найдете подозрительную учетную запись, немедленно удалите ее.
  3. Смените пароли: Хорошей идеей будет сменить пароли для всех учетных записей администраторов и редакторов. Хотя перехват сессии не означает прямой утечки пароля, это следует сделать в качестве меры предосторожности.
  4. Проведите сканирование безопасности вашего сайта: Выполните полное сканирование вашего сайта с помощью плагина безопасности для WordPress, такого как Wordfence, Sucuri или MalCare. Эти инструменты могут помочь вам обнаружить любые другие бэкдоры или вредоносные файлы, которые могли оставить злоумышленники.

Что говорит компания

После инцидента Awesome Motive выпустила заявление для своих пользователей и общественности. Компания подтвердила, что 14 июня 2026 года ее службы безопасности обнаружили и заблокировали несанкционированный доступ к их CDN. В своем заявлении они упомянули, что злоумышленники взломали один из их серверов и изменили некоторые JavaScript-файлы. Они подчеркнули, что сервер CDN, который был источником проблемы, был немедленно отключен, и что чистые файлы были автоматически предоставлены всем клиентам.

По словам компании, проблема полностью решена, и сайты клиентов теперь обслуживают правильные, безопасные файлы. Awesome Motive заявила, что они действовали быстро, чтобы смягчить последствия инцидента, и усиливают свои меры безопасности для предотвращения подобных событий в будущем. Однако они не предоставили дальнейших технических подробностей о первопричине атаки или о том, как злоумышленники получили доступ к CDN.

Источник

https://www.bleepingcomputer.com/news/security/optinmonster-wordpress-plugin-hacked-in-cdn-supply-chain-attack/

Поделиться статьёй
X LinkedIn WhatsApp
← Предыдущая статья Утечка в Infinite Campus затронула 137 тыс. сотрудников школ Следующая статья → Совет Европы расследует заявления ShinyHunters об утечке данных

Еженедельная рассылка

Отборные новости об утечках данных каждую неделю в вашем почтовом ящике.