Das hier ist ein vollständig KI generierter Artikel.

Mehrere populäre WordPress-Plugins von Awesome Motive – darunter OptinMonster, TrustPulse und PushEngage – sind Ziel eines Supply-Chain-Angriffs geworden. Angreifer manipulierten JavaScript-Dateien auf dem Content-Delivery-Network (CDN) des Anbieters und konnten so Administrator-Konten übernehmen und Backdoor-Plugins auf betroffenen Websites installieren.

Was ist passiert?

Die E-Commerce-Sicherheitsfirma Sansec entdeckte am Wochenende einen Angriff auf das CDN von Awesome Motive. Über dieses CDN werden unter anderem Skripte für die WordPress-Plugins OptinMonster, TrustPulse und PushEngage ausgeliefert. OptinMonster ist dabei mit mindestens 1,2 Millionen Websites das prominenteste Produkt.

Zwischen dem 12. Juni, 22:17 UTC und 22:42 UTC, wurden OptinMonster- und TrustPulse-Nutzern manipulierte JavaScript-Dateien ausgeliefert. Bei PushEngage dauerte die Auslieferung schädlicher Skripte sogar bis zum 13. Juni, 19:02 UTC an. Die Schadsoftware wurde nur aktiv, wenn ein WordPress-Administrator eine Seite der betroffenen Website aufrief.

Angriffskette: Von UpdraftPlus zur CDN-Kompromittierung

Laut Sicherheitsmeldung von Awesome Motive nutzten die Angreifer zunächst eine bekannte Schwachstelle im WordPress-Plugin UpdraftPlus aus, um Zugriff auf einen Server im Umfeld des Unternehmens zu erhalten. Dieser Server diente als Marketing-Website und war zwar nicht mit der Produktionsinfrastruktur oder den Datensystemen verbunden, enthielt aber Zugangsdaten für das CDN-Konto.

Mit dem erbeuteten CDN-API-Schlüssel konnten die Angreifer JavaScript-Dateien auf dem CDN manipulieren. Websites, die die betroffenen Dateien einbanden, luden daraufhin unbemerkt zusätzlichen Schadcode. Betroffen waren unter anderem folgende Dateien:

  • a.omappapi.com/app/js/api.min.js – OptinMonster
  • a.opmnstr.com/app/js/api.min.js – OptinMonster
  • a.optnmstr.com/app/js/api.min.js – OptinMonster
  • a.trstplse.com/app/js/api.min.js – TrustPulse

Awesome Motive betont, dass die kompromittierten Skripte nur für einen begrenzten Zeitraum aktiv waren und dass Anwendungsserver, Quellcode und die Systeme mit Kundenkontodaten separat gehostet und nicht kompromittiert wurden.

Funktionen der Schadsoftware

Der eingeschleuste JavaScript-Code zielte gezielt auf eingeloggte Administratoren ab. Sobald ein Admin eine Seite der infizierten Website aufrief, sammelte das Skript Authentifizierungs-Tokens und Nonces, um damit ein eigenes Administrator-Konto anzulegen. Im Anschluss installierten die Angreifer ein getarntes Backdoor-Plugin, das sich selbst versteckt und eine dauerhafte Fernzugriffsmöglichkeit bereitstellt.

Das Backdoor-Plugin bot unter anderem:

  • vollständigen Remote-Zugriff auf die Website
  • eine Web-Shell („WPM File Manager & Shell“)
  • Ausführung beliebigen PHP-Codes

Sansec beobachtete, dass die Angreifer den Namen und die Tarnung des Plugins regelmäßig wechselten, während die eigentliche Logik unverändert blieb. Das Plugin trat beispielsweise als „Content Delivery Helper“ (content-delivery-helper, v2.7.1) und später als „Database Optimizer“ (database-optimizer, v2.9.4) auf. Die Kommunikation der Backdoor lief über eine Domain, die legitime Dienste wie Tidio imitierte, um neu erbeutete Daten abzutransportieren.

Reaktion von Awesome Motive

In einer Sicherheitsmeldung erklärte Awesome Motive, man habe die betroffene Marketing-Site bereinigt, auf einen neuen Server migriert und sämtliche Zugangsdaten – inklusive des CDN-API-Schlüssels – rotiert. Nach aktuellem Stand gebe es keine Hinweise darauf, dass Kontodaten oder persönliche Informationen der Kunden abgeflossen seien.

Wichtig ist jedoch: Auch wenn die schädlichen Inhalte inzwischen aus dem CDN entfernt wurden, behalten Angreifer den Zugriff auf bereits kompromittierte Websites, solange versteckte Backdoor-Plugins und unautorisierte Admin-Konten noch vorhanden sind.

Was betroffene Site-Betreiber jetzt tun sollten

Betreiber von Websites, die OptinMonster, TrustPulse oder PushEngage einsetzen oder eingesetzt haben, sollten umgehend prüfen, ob ihre Installation betroffen sein könnte. Empfohlene Schritte sind:

  • Admin-Konten prüfen und verdächtige Benutzer entfernen, insbesondere Konten mit den Namen developer_api1 oder dev_xxxxxx.
  • Das Dateisystem unter wp-content/plugins direkt inspizieren und nach unbekannten oder verdächtigen Plugins suchen, insbesondere solchen mit generischen Optimierungs- oder Delivery-Bezeichnungen.
  • Serverseitige Malware-Scans durchführen, um versteckte Backdoors und Web-Shells aufzuspüren.
  • Alle sensiblen Zugangsdaten rotieren: Administrator-Passwörter, API-Schlüssel, Datenbank-Zugangsdaten sowie die WordPress-Security-Salts in der wp-config.php.

Darüber hinaus ist es ratsam, Logdateien auf ungewöhnliche Anmeldeaktivitäten und Plugin-Installationen im fraglichen Zeitraum zu prüfen und gegebenenfalls ein vollständiges Incident-Response-Vorgehen (inklusive forensischer Analyse und Wiederherstellung aus vertrauenswürdigen Backups) zu planen.

Fazit

Der Angriff auf das CDN von Awesome Motive zeigt erneut, wie attraktiv Supply-Chain-Angriffe auf weit verbreitete WordPress-Plugins sind. Selbst wenn die eigentlichen Produktionssysteme unangetastet bleiben, kann der Missbrauch von CDN-Zugangsdaten ausreichen, um massenhaft Websites zu kompromittieren. Betreiber von WordPress-Seiten sollten nicht nur ihre eigenen Installationen, sondern auch die Sicherheitspraktiken ihrer Plugin-Anbieter im Blick behalten und auf mehrstufige Schutzkonzepte setzen – von strikter Rechtevergabe über Monitoring bis hin zu regelmässigen Sicherheitsüberprüfungen.

Quelle: https://www.bleepingcomputer.com/news/security/optinmonster-wordpress-plugin-hacked-in-cdn-supply-chain-attack/