Thought Leadership
Ein Angreifer hat JavaScript-Dateien von drei WordPress-Plugins manipuliert, um unbemerkt administrative Hintertüren auf Webseiten zu installieren.
Die IT-Sicherheitsfirma Sansec hat einen Lieferkettenangriff auf drei weit verbreitete WordPress-Plugins öffentlich gemacht. Betroffen sind die Erweiterungen PushEngage, OptinMonster und TrustPulse, die alle vom Softwareunternehmen Awesome Motive betrieben werden. Zusammen erreichen diese Plugins mehr als 1,2 Millionen Websites, wobei der Großteil auf OptinMonster entfällt. Ein Angreifer manipulierte die vertrauenswürdigen JavaScript-Dateien, die über das Content Delivery Network (CDN) an die Websites der Kunden ausgeliefert wurden.
Das Schadskript blieb bei normalen Seitenaufrufen durch reguläre Besucher inaktiv. Es wurde gezielt nur dann ausgeführt, wenn ein angemeldeter WordPress-Administrator die Seite lud. Der Schadcode nutzte diese administrative Sitzung, um unbemerkt ein neues Administrator-Konto mit vollen Zugriffsrechten anzulegen und ein verstecktes Plugin zu installieren. Da diese Aktivitäten außerhalb des WordPress-Dashboards stattfinden, lässt sich eine Infektion nicht über die reguläre Administrationsoberfläche erkennen.
Technische Details zur Schadsoftware und Ausbreitung
Bei dem Angriff auf PushEngage wurden die standardmäßigen Einbettungsdateien pushengage-web-sdk.js und pushengage-subscription.js manipuliert. Das versteckte Plugin fungiert als Web-Shell und öffnet einen permanenten Fernsteuerungs-Kanal auf dem Server. Dadurch können Angreifer Dateien lesen, Datenbanken kopieren oder schädlichen Code wie Kreditkarten-Skimmer injizieren. Die erbeuteten Zugangsdaten und Website-Informationen wurden an die gefälschte Domäne tidio.cc gesendet, die bereits am 28. April 2026 registriert worden war.
Die Zeitfenster der Auslieferung unterschieden sich je nach Plugin. Während die manipulierten Skripte bei OptinMonster und TrustPulse am 12. Juni 2026 nur für etwa 25 Minuten zwischen 22:17 und 22:42 UTC aktiv waren, erstreckte sich die Kompromittierung bei PushEngage über mehrere Stunden und war auf einigen CDN-Servern noch bis zum 14. Juni 2026 nachweisbar. PushEngage hat den Vorfall bestätigt und die betroffenen Dateien ersetzt, den CDN-Cache geleert sowie die Zugriffsschlüssel ausgetauscht. Von OptinMonster und TrustPulse liegt bisher keine offizielle Stellungnahme vor.
Unklarheit über den genauen Einbruchsweg in WordPress
Der genaue Pfad, über den der Angreifer Zugriff auf die CDN-Dateien erlangte, ist zwischen den beteiligten Akteuren umstritten. PushEngage gab an, dass die Täter über eine bekannte Sicherheitslücke in dem Backup-Plugin UpdraftPlus in den Server der eigenen Marketing-Website eingebrochen seien. Dort entwendeten sie einen API-Schlüssel für das CDN, was die Modifikation der Kundenskripte ohne direkten Zugriff auf die Produktivsysteme ermöglichte.
Das Sicherheitsunternehmen Sansec bezweifelt diese Darstellung und sieht die Server von Awesome Motive als wahrscheinlicheren Einbruchspunkt. In diesem Kontext existiert eine Sicherheitslücke in UpdraftPlus mit der Kennung CVE-2026-10795, die von der Sicherheitsorganisation Wordfence mit einem hohen Risikowert von 8.1 eingestuft wurde. Ein direkter Zusammenhang mit diesem Vorfall ist jedoch nicht unabhängig bestätigt.
Hinweise zur Überprüfung und Bereinigung
Zur Identifizierung einer Kompromittierung wird Administratoren eine serverseitige Überprüfung des Dateisystems empfohlen. Im Verzeichnis wp-content/plugins sollte manuell nach nicht autorisierten Ordnern wie content-delivery-helper oder database-optimizer gesucht werden. Zudem müssen angelegte Administrator-Konten wie developer_api1 oder Namensmuster mit dem Präfix dev_ überprüft und entfernt werden. Falls Indikatoren für eine Infektion vorliegen, müssen alle administrativen Passwörter, API-Schlüssel, Datenbank-Zugangsdaten und die geheimen Schlüssel in der Datei wp-config.php vollständig erneuert werden.
(red)
