WordPress: Lieferkettenangriff auf Plug-ins gefährdet 1,2 Millionen Instanzen

IT-Sicherheitsforscher warnen vor einem aktiven Lieferkettenangriff auf die WordPress-Plug-ins OptinMonster, TrustPulse und möglicherweise PushEngage. Angreifer missbrauchen Schwachstellen darin, um Backdoors in verwundbare WordPress-Instanzen zu installieren. 1,2 Millionen Webseiten sollen bedroht sein.

Das schreiben die Autoren von Sansec in ihrer Analyse. Sie haben eine Supply-Chain-Attacke auf die Plug-ins OptinMonster, TrustPulse und PushEngage des Herstellers Awesome Motive aufgedeckt. Die Angreifer haben dabei bösartiges JavaScript in die legitimen Dateien eingeschleust, die Awesome Motive ausliefert. Diese Dateien sind dann in die Kunden-Webseiten eingebettet. Das bösartige JavaScript wartet darauf, dass sich ein Admin anmeldet, erstellt daraufhin einen Backdoor-Admin-Zugang und installiert noch eine sich versteckende Backdoor als Plugin; bei anderen Zugängen hält es die Füße still. Die neuen Zugangsdaten sendet es an eine Domain „tidio.cc“, die die reguläre Seite „tidio.com“ imitiert. Die Kampagne läuft seit Freitag, dem 12. Juni 2026.

Da die Angreifer volle Kontrolle über erfolgreich angegriffene Instanzen erhalten, können auch weitere Konten regulärer Besucher missbraucht werden. Awesome Motive vertreibt noch weitere populäre WordPress-Plugins. Zwar hat Sansec bislang nur Malware in dreien entdeckt, Nutzerinnen und Nutzer der anderen Plug-ins sollten jedoch aufmerksam bleiben und ihre Systeme auf Hinweise für Angriffe (Indicators of Compromise, IOC) überwachen. Allein das OptinMonster-Plugin kommt auf mehr als eine Million Installationen, erörtert Sansec. Aber auch WPForms mit mehr als sechs Millionen Installationen, All-in-One-SEO (drei Millionen Installationen) oder MonsterInsights (rund zwei Millionen Installationen) könnten möglicherweise im Visier der Angreifer sein.

Angriffe beobachtet

Sansec zufolge haben die IT-Sicherheitsforscher von Patchstack Erkennungen gebaut und damit in kurzer Zeit hunderte Angriffsversuche auf 13 Sites am Sonntag und Montag entdeckt. Wer Plugins von Awesome Motive einsetzt, sollte die in der Analyse genannten IOCs einmal prüfen.

Awesome Motive hat inzwischen ebenfalls reagiert und schreibt, dass Angreifer Zugangsdaten zum Content Delivery Network ergattern und damit Zugriff darauf erlangen konnten. Das nutzten sie zum Einschleusen einer manipulierten Version des JavaScripts, das die Produkte an die Kunden-Webseiten ausliefert. Für einen begrenzten Zeitraum habe das Skript die modifizierte Datei direkt aus dem CDN ausgeliefert. Awesome Motive betont, dass Anwendungsserver, Quellcode und die Systeme, die OptinMonster- und TrustPulse-Kontoinformationen speichern, unabhängig gehostet werden und nicht kompromittiert wurden.

Die Kompromittierung beschränkte sich demnach auf die Marketing-Webseite und durch einen darin gespeicherten CDN-API-Key auf das CDN-Konto. Die manipulierte Software sei einige Stunden am 12. Juni 2026 verteilt worden. Webseiten, die das Skript geladen hatten und wo sich Admins in dem Zeitfenster angemeldet haben, seien kompromittiert. Der Anbieter gibt dann Hilfestellung, wie Betroffene ihre Systeme wieder bereinigen können.

Sicherheitslücken in WordPress-Plug-ins dienen Angreifern immer wieder als Einstiegspunkt, um Systeme zu kapern. Anfang Mai wurden etwa Angriffe auf das WordPress-Plugin Breeze Cache beobachtet. Lieferkettenangriffe wie der nun erfolgte sind bislang jedoch selten.

(dmk)