OptinMonster WordPress 插件在 CDN 供应链攻击中被黑

WordPress 插件 OptinMonster、TrustPulse 和 PushEngage 在一次影响 Awesome Motive 内容分发网络 (CDN) 的供应链攻击中被攻破。

在这三个产品中，OptinMonster 潜在客户生成和转化优化平台最为流行，至少有 120 万个网站在使用它。

电子商务安全公司 Sansec 在上周末发现了此次攻击，并发现恶意脚本在周五 UTC 时间 22:17 至 22:42 期间被提供给毫无戒心的 OptinMonster 和 TrustPulse 用户。

PushEngage 继续提供恶意 JavaScript 代码，直到周六 UTC 时间 19:02。

该恶意软件仅在 WordPress 管理员访问受感染网站上的页面时触发，它会收集身份验证令牌和 nonces，并利用它们创建一个 rogue 管理员账户。

入侵者随后安装了一个自隐藏的后门插件，并与一个冒充 Tidio 的域名建立通信通道，以发送任何新捕获的数据。

该插件还提供完全的远程访问能力，包括一个 web shell（"WPM File Manager & Shell"）和任意 PHP 代码执行，使攻击者完全控制受感染的网站。

Sansec 表示：“操作者在保持逻辑字节一致的同时轮换插件的伪装名称。我们观察到它曾以 'Content Delivery Helper' (content-delivery-helper, v2.7.1) 形式发布，目前则以 'Database Optimizer' (database-optimizer, v2.9.4) 形式存在。”

Awesome Motive 今天早些时候发布了关于该事件的安全公告，解释说黑客在利用 UpdraftPlus WordPress 插件中的一个已知漏洞后，获得了其环境中一台服务器的访问权限。

该服务器托管了一个营销网站，并未连接到公司的生产基础设施或数据系统；然而，它托管了公司 CDN 账户的凭证，黑客窃取了这些凭证。

利用窃取的 CDN API 密钥，攻击者修改了通过 Awesome Motive 的 CDN 分发的 JavaScript 文件，导致网站直接从 CDN 静默加载恶意代码。

受影响文件包括：

• a.omappapi.com/app/js/api.min.js – OptinMonster
• a.opmnstr.com/app/js/api.min.js – OptinMonster
• a.optnmstr.com/app/js/api.min.js – OptinMonster
• a.trstplse.com/app/js/api.min.js – TrustPulse

Awesome Motive 报告称，恶意脚本于 6 月 12 日在短时间内提供给 OptinMonster 和 TrustPulse 用户，但未确认对 PushEngage 的影响。

Awesome Motive 表示：“我们此后已修复了营销网站，将其迁移到新服务器，并轮换了所有凭证，包括 CDN API 密钥。”

该公司还保证其应用服务器、源代码和插件托管服务器未受入侵。

该发布商表示：“我们的应用服务器、源代码以及存储您 OptinMonster 和 TrustPulse 账户信息的系统是单独托管的，并未被入侵。我们没有证据表明我们持有的账户数据或个人详细信息被访问。”

建议可能受影响的网站所有者：

• 检查并删除 rogue 管理员账户 'developer_api1' 或 'dev_xxxxxx'
• 直接检查 wp-content/plugins 下的文件系统，查找隐藏的后门插件
• 执行服务器端恶意软件扫描
• 轮换管理员密码、API 密钥、数据库凭证和 WordPress 安全 salts

虽然恶意内容已被移除，但只要 rogue 管理员账户和隐藏的后门插件仍然存在，攻击者仍可继续访问受感染的网站。