Les extensions WordPress OptinMonster, TrustPulse et PushEngage ont été compromises. Une attaque a visé le réseau de distribution de contenu de l’éditeur, la société Awesome Motive.
Parmi ces trois produits, la plateforme de génération de prospects OptinMonster est la plus répandue. Elle équipe plus d’1,2 million de sites web.
La société de sécurité Sansec a détecté l’attaque ce week-end. Elle a constaté que des scripts malveillants ont été diffusés aux utilisateurs d’OptinMonster et de TrustPulse vendredi, entre 22h17 et 22h42 UTC.
Le service PushEngage a continué à diffuser du code JavaScript malveillant jusqu’à samedi 19h02 UTC.
Le malware s’activait uniquement lorsqu’un administrateur WordPress visitait une page d’un site infecté. Il collectait alors les jetons d’authentification et les « nonces ». Il les utilisait pour créer un compte administrateur frauduleux.
Les pirates ont ensuite installé une extension backdoor qui se dissimule. Ils ont établi un canal de communication avec un domaine qui imitait Tidio pour envoyer toutes les nouvelles données capturées.
Cette extension donnait aussi un accès distant complet au site. Elle intégrait un web shell et permettait l’exécution de code PHP arbitraire, ce qui offrait un contrôle total aux attaquants.
« L’opérateur modifie le nom de l’extension mais conserve une logique identique », explique Sansec. « Nous l’avons observé sous le nom ‘Content Delivery Helper’ et actuellement sous le nom ‘Database Optimizer’.
Awesome Motive a publié un avis de sécurité ce matin. La société explique que les hackers ont accédé à un serveur de son environnement après avoir exploité une faille connue dans l’extension UpdraftPlus.
Ce serveur hébergeait un site marketing. Il n’était pas relié à l’infrastructure de production ou aux systèmes de données. Mais il contenait les identifiants du compte CDN de l’entreprise, que les hackers ont volés.
Avec la clé API du CDN dérobée, les attaquants ont modifié les fichiers JavaScript distribués via le CDN d’Awesome Motive. Les sites web chargeaient alors du code malveillant directement depuis le réseau de distribution.
Les fichiers affectés sont :
- a.omappapi.com/app/js/api.min.js – pour OptinMonster
- a.opmnstr.com/app/js/api.min.js – pour OptinMonster
- a.optnmstr.com/app/js/api.min.js – pour OptinMonster
- a.trstplse.com/app/js/api.min.js – pour TrustPulse
Awesome Motive indique que les scripts malveillants ont été diffusés pendant une courte période le 12 juin pour OptinMonster et TrustPulse. L’éditeur ne confirme pas l’impact sur PushEngage.
« Nous avons depuis remédié au problème sur le site marketing, nous l’avons migré vers un nouveau serveur et nous avons renouvelé tous les identifiants, y compris la clé API du CDN », a déclaré l’entreprise.
La société assure que ses serveurs d’application, son code source et ses serveurs d’hébergement d’extensions n’ont pas été compromis.
« Nos serveurs d’application, notre code source et les systèmes qui stockent les informations de vos comptes OptinMonster et TrustPulse sont hébergés séparément et n’ont pas été violés », a précisé l’éditeur. « Nous n’avons aucune preuve que les données des comptes ou les informations personnelles détenues par nos soins aient été consultées. »
Les propriétaires de sites qui pourraient être affectés sont invités à :
- Rechercher et supprimer les comptes administrateurs frauduleux ‘developer_api1’ ou ‘dev_xxxxxx’.
- Inspecter directement le système de fichiers sous wp-content/plugins pour trouver des extensions backdoor cachées.
- Exécuter des analyses de malware côté serveur.
- Renouveler les mots de passe administrateur, les clés API, les identifiants de base de données et les « salts » de sécurité WordPress.
Le contenu malveillant a été supprimé du CDN, mais les attaquants conservent leur accès aux sites compromis tant que les comptes administrateurs frauduleux et les extensions backdoor cachées restent en place.