Plugin OptinMonster WordPress diretas dalam serangan rantai pasokan CDN

Plugin WordPress OptinMonster, TrustPulse, dan PushEngage telah disusupi dalam serangan rantai pasokan yang berdampak pada jaringan distribusi konten (CDN) Awesome Motive.

Dari ketiga produk tersebut, platform penghasil prospek dan pengoptimalan konversi OptinMonster adalah yang paling populer, dengan setidaknya 1,2 juta situs web menggunakannya.

Perusahaan keamanan e-commerce Sansec menemukan serangan tersebut pada akhir pekan dan menemukan bahwa skrip berbahaya disajikan kepada pengguna OptinMonster dan TrustPulse yang tidak menaruh curiga pada hari Jumat antara pukul 22:17 UTC dan 22:42 UTC.

PushEngage terus menyajikan kode JavaScript berbahaya hingga pukul 19:02 UTC pada hari Sabtu.

Malware ini hanya dipicu ketika administrator WordPress mengunjungi halaman di situs web yang terinfeksi, mengumpulkan token autentikasi dan nonce, dan menggunakannya untuk membuat akun administrator jahat.

Penyusup kemudian memasang plugin pintu belakang yang menyembunyikan diri dan membuat saluran komunikasi dengan domain yang menyamar sebagai Tidio untuk mengirim data yang baru diambil.

Plugin ini juga menyediakan kemampuan akses jarak jauh penuh, termasuk shell web (“WPM File Manager & Shell”) dan eksekusi kode PHP sewenang-wenang, memberikan penyerang kendali penuh atas situs web yang disusupi.

“Operator memutar penyamaran plugin sambil menjaga byte logika tetap identik di seluruh penggantian nama,” kata Sansek.

“Kami telah mengamati pengirimannya sebagai “Pembantu Pengiriman Konten” (pembantu pengiriman konten, v2.7.1) dan, saat ini, sebagai “Pengoptimal Basis Data” (pengoptimal basis data, v2.9.4).”

Awesome Motive menerbitkan nasihat keamanan hari ini tentang insiden tersebut, menjelaskan bahwa peretas memperoleh akses ke server di lingkungannya setelah mengeksploitasi kelemahan yang diketahui pada plugin UpdraftPlus WordPress.

Server ini menghosting situs web pemasaran dan tidak terhubung ke infrastruktur produksi atau sistem data perusahaan; namun, ia menghosting kredensial untuk akun CDN perusahaan, yang dicuri oleh peretas.

Dengan menggunakan kunci API CDN yang dicuri, penyerang memodifikasi file JavaScript yang didistribusikan melalui CDN Awesome Motive, menyebabkan situs web secara diam-diam memuat kode berbahaya langsung dari CDN.

File yang terpengaruh adalah:

1. a.omappapi.com/app/js/api.min.js – OptinMonster
2. a.opmnstr.com/app/js/api.min.js – OptinMonster
3. a.optnmstr.com/app/js/api.min.js – OptinMonster
4. a.trstplse.com/app/js/api.min.js – TrustPulse

Awesome Motive melaporkan bahwa skrip berbahaya disajikan dalam waktu singkat pada 12 Juni untuk OptinMonster dan Trust Pulse, meskipun tidak mengonfirmasi dampaknya pada PushEngage.

“Kami telah memulihkan situs pemasaran, memigrasikannya ke server baru, dan merotasi semua kredensial, termasuk kunci API CDN,”Motif Luar Biasa dinyatakan.

Perusahaan juga meyakinkan bahwa server aplikasi, kode sumber, dan server hosting pluginnya tidak disusupi.

“Server aplikasi kami, kode sumber kami, dan sistem yang menyimpan informasi akun OptinMonster dan TrustPulse Anda dihosting secara terpisah dan tidak dilanggar,” kata penerbitnya.

“Kami tidak memiliki bukti bahwa data akun atau data pribadi yang kami simpan telah diakses.”

Pemilik situs yang mungkin terpengaruh disarankan untuk:

• Periksa, dan hapus akun admin jahat ‘developer_api1’ atau ‘dev_xxxxxx’
• Periksa sistem file langsung di bawah wp-content/plugins untuk mencari plugin pintu belakang yang tersembunyi
• Jalankan pemindaian malware sisi server
• Putar kata sandi administrator, kunci API, kredensial basis data, dan garam keamanan WordPress.

Meskipun konten berbahaya telah dihapus, penyerang tetap memiliki akses ke situs web yang disusupi selama akun administrator jahat dan plugin pintu belakang tersembunyi masih ada.