Плагин OptinMonster для WordPress взломан в результате атаки на цепочку поставок CDN
Плагины для WordPress OptinMonster, TrustPulse и PushEngage были скомпрометированы в результате атаки на цепочку поставок, затронувшей сеть распространения контента (CDN) компании Awesome Motive.
Из этих трех продуктов наиболее популярной является платформа для лидогенерации и оптимизации конверсии OptinMonster, которую используют не менее 1,2 миллиона сайтов.
Компания Sansec, специализирующаяся на безопасности электронной коммерции, обнаружила атаку в минувшие выходные. Выяснилось, что в пятницу с 22:17 до 22:42 по всемирному координированному времени ничего не подозревавшие пользователи OptinMonster и TrustPulse получили вредоносные скрипты.
PushEngage продолжал использовать вредоносный код JavaScript до 19:02 по всемирному координированному времени в субботу.
Вредоносная программа срабатывала только тогда, когда администратор WordPress заходил на страницу зараженного сайта, собирая токены аутентификации и одноразовые пароли и используя их для создания учетной записи администратора.
Затем злоумышленники установили самоскрывающийся бэкдор-плагин и организовали канал связи с доменом, имитирующим Tidio, для отправки всех новых собранных данных.
Плагин также предоставлял возможности полного удаленного доступа, включая веб-оболочку (WPM File Manager & Shell) и возможность выполнения произвольного PHP-кода, что давало злоумышленникам полный контроль над взломанными сайтами.
«Оператор меняет маскировку плагина, сохраняя при этом идентичность логики при смене названия, — говорит Сансек.
— Мы видели, что он распространялся под названием «Content Delivery Helper» (content-delivery-helper, версия 2.7.1), а в настоящее время — под названием «Database Optimizer» (database-optimizer, версия 2.9.4)».
Ранее сегодня компания Awesome Motive опубликовала предупреждение о безопасности, в котором сообщила, что хакеры получили доступ к серверу в ее сети, воспользовавшись известной уязвимостью в плагине UpdraftPlus для WordPress.
На этом сервере размещался маркетинговый сайт, и он не был подключен к производственной инфраструктуре или системам хранения данных компании. Однако на нем хранились учетные данные для учетной записи CDN компании, которые и похитили хакеры.
Используя украденный ключ API CDN, злоумышленники модифицировали файлы JavaScript, распространяемые через CDN Awesome Motive, в результате чего веб-сайты незаметно загружали вредоносный код прямо из CDN.
Затронутыми файлами являются:
- a.omappapi.com/app/js/api.min.js — OptinMonster
- a.opmnstr.com/app/js/api.min.js — OptinMonster
- a.optnmstr.com/app/js/api.min.js — OptinMonster
- a.trstplse.com/app/js/api.min.js — TrustPulse
По данным Awesome Motive, 12 июня вредоносные скрипты некоторое время использовались для OptinMonster и Trust Pulse, но влияние на PushEngage не подтверждено.
«Мы восстановили маркетинговый сайт, перенесли его на новый сервер и сменили все учетные данные, включая ключ API CDN», — заявили в Awesome Motive.
Компания также заверила, что серверы приложений, исходный код и серверы для размещения плагинов не были скомпрометированы.
«Наши серверы приложений, исходный код и системы, в которых хранится информация о ваших аккаунтах в OptinMonster и TrustPulse, размещены отдельно и не подвергались взлому», — заявили в компании.
«У нас нет доказательств того, что к нашим учетным данным или персональным сведениям был получен доступ».
Владельцам сайтов, которые могли пострадать, рекомендуется:
- Проверьте и удалите неавторизованные учетные записи администраторов developer_api1 или dev_xxxxxx
- Проверьте файловую систему в папке wp-content/plugins на наличие скрытых бэкдор-плагинов
- Выполните сканирование сервера на наличие вредоносных программ
- Смените пароли администраторов, ключи API, учетные данные для доступа к базе данных и соли для обеспечения безопасности WordPress.
Несмотря на то, что вредоносный контент был удален, злоумышленник по-прежнему имеет доступ к взломанным сайтам, пока там присутствуют учетные записи администраторов и скрытые бэкдор-плагины.
Редактор: AndreyEx
