Підписуйтеся на наш телеграм канал!
Хакери зламали сервер плагінів WordPress і отримали доступ до мільйонів сайтів через рекламні скрипти
Три популярні плагіни для WordPress опинились у центрі масштабної атаки на ланцюг постачання. Зловмисники зламали не самі продукти, а допоміжний сервер компанії Awesome Motive — розробника OptinMonster, TrustPulse і PushEngage. Перший із них встановлений щонайменше на 1,2 мільйона сайтів і використовується для генерації лідів та оптимізації конверсії. Атаку виявила компанія Sansec, яка спеціалізується на безпеці в сфері електронної комерції.
Проникнення стало можливим через відому вразливість у плагіні UpdraftPlus. Зламаний сервер не був частиною робочої інфраструктури Awesome Motive, проте на ньому зберігались облікові дані від акаунту в мережі доставки контенту (CDN). Отримавши ключ API, атакуючі підмінили JavaScript-файли, які CDN роздавав користувачам плагінів.
Шкідливий скрипт спрацьовував у момент, коли адміністратор WordPress заходив на заражену сторінку: код перехоплював токени автентифікації та створював фіктивний акаунт адміністратора. Після цього на сайт встановлювався прихований плагін-бекдор із веб-оболонкою та можливістю віддаленого виконання коду. Для передачі викрадених даних використовувався домен, що імітував сервіс Tidio. Щоб ускладнити виявлення, плагін періодично змінював назву — зокрема, маскувався під «Content Delivery Helper» і «Database Optimizer».
Шкідливі скрипти почали поширюватись 12 червня: OptinMonster і TrustPulse — протягом кількох годин, PushEngage — до 14 червня включно. Awesome Motive відновила сервер, перенесла його на нову площадку та змінила всі облікові дані, включно з ключем CDN. Вихідний код, сервери застосунків і дані користувачів не постраждали.
Власникам сайтів, які використовували ці плагіни 12–13 червня, рекомендується перевірити панель адміністратора на наявність сторонніх акаунтів з іменами «developer_api1» або «dev_» з будь-яким продовженням, а також просканувати директорію wp-content/plugins на приховані плагіни. Додатково варто провести серверне сканування на шкідливий код і змінити паролі адміністраторів, ключі API, облікові дані бази даних та ключі безпеки WordPress.
Навіть після видалення шкідливих скриптів із CDN сайти, на яких залишились бекдори та фіктивні акаунти, досі перебувають під контролем зловмисників.