1,2 Million de Sites Exposés Après le Piratage d’OptinMonster et de Une attaque de type supply chain a touché trois extensions WordPress éditées par Awesome Motive : OptinMonster, TrustPulse et PushEngage. Cet incident de sécurité majeur a exposé plus de 1,2 million de sites WordPress à une compromission, preuve de la popularité de ces extensions. Grâce à cette méthode, les pirates ont pu injecter du code JavaScript malveillant dans des fichiers diffusés via le CDN officiel des extensions. Voici ce que l’on sait.
Une clé d’API CDN compromise pour allumer l’incendie
Cette nouvelle attaque sur la chaîne d’approvisionnement a été détectée par Sansec, qui a signalé le 13 juin 2026 que du code malveillant était servi via des fichiers JavaScript hébergés sur le CDN d’OptinMonster, TrustPulse et PushEngage. En détournant une ressource de confiance, les attaquants ont pu atteindre des milliers d’installations WordPress sans avoir à cibler chacune d’elles directement. Awesome Motive, l’éditeur de ces extensions, a confirmé l’incident et affirme que tout est parti de la compromission d’une clé d’API offrant un accès à son CDN. Les attaquants n’ont pas eu accès aux serveurs applicatifs, aux comptes clients, ni même au code source.
L’intrusion est limitée au CDN, mais cela a suffi pour modifier les fichiers JavaScript servis aux sites WordPress des utilisateurs de ces trois extensions, sans jamais accéder à l’infrastructure d’OptinMonster. La fenêtre d’exposition aurait duré seulement quelques heures, le 12 juin 2026, même si l’enquête est en cours.
Les actions malveillantes réalisées côté WordPress
Une analyse de Sansec indique que le JavaScript injecté ne s’exécutait que lorsqu’un administrateur WordPress authentifié visitait un site affecté. Une fois activé, le code récupérait les jetons de sécurité de WordPress, tentait de créer des comptes administrateurs et installait une extension cachée servant de porte dérobée pour un accès distant persistant.
Les chercheurs expliquent que ce compte est créé via l’API de WordPress. Des comptes administrateurs secondaires, avec des noms aléatoires, sont également créés. Au-delà de vérifier les comptes administrateurs sur votre site WordPress, il est conseillé d’examiner les extensions, qui peuvent être dissimulées. Il faut donc inspecter le répertoire wp-content/plugins de votre hébergement.
La porte dérobée a été conçue pour passer sous les radars : elle se dissimulait des listes d’extensions, des interfaces utilisateur, des vérifications de mises à jour et des réponses d’API. Sansec a identifié deux déguisements utilisés au cours de la campagne.
Source : Sansec.
Source
Post navigation
Leave a Comment
Une attaque de type supply chain a touché trois extensions WordPress éditées par Awesome Motive : OptinMonster, TrustPulse et PushEngage. Cet incident de sécurité majeur a exposé plus de 1,2 million de sites WordPress à une compromission, preuve de la popularité de ces extensions. Grâce à cette méthode, les pirates ont pu injecter du code JavaScript malveillant dans des fichiers diffusés via le CDN officiel des extensions. Voici ce que l’on sait.
Une clé d’API CDN compromise pour allumer l’incendie
Cette nouvelle attaque sur la chaîne d’approvisionnement a été détectée par Sansec, qui a signalé le 13 juin 2026 que du code malveillant était servi via des fichiers JavaScript hébergés sur le CDN d’OptinMonster, TrustPulse et PushEngage. En détournant une ressource de confiance, les attaquants ont pu atteindre des milliers d’installations WordPress sans avoir à cibler chacune d’elles directement. Awesome Motive, l’éditeur de ces extensions, a confirmé l’incident et affirme que tout est parti de la compromission d’une clé d’API offrant un accès à son CDN. Les attaquants n’ont pas eu accès aux serveurs applicatifs, aux comptes clients, ni même au code source.
L’intrusion est limitée au CDN, mais cela a suffi pour modifier les fichiers JavaScript servis aux sites WordPress des utilisateurs de ces trois extensions, sans jamais accéder à l’infrastructure d’OptinMonster. La fenêtre d’exposition aurait duré seulement quelques heures, le 12 juin 2026, même si l’enquête est en cours.
Les actions malveillantes réalisées côté WordPress
Une analyse de Sansec indique que le JavaScript injecté ne s’exécutait que lorsqu’un administrateur WordPress authentifié visitait un site affecté. Une fois activé, le code récupérait les jetons de sécurité de WordPress, tentait de créer des comptes administrateurs et installait une extension cachée servant de porte dérobée pour un accès distant persistant.
Les chercheurs expliquent que ce compte est créé via l’API de WordPress. Des comptes administrateurs secondaires, avec des noms aléatoires, sont également créés. Au-delà de vérifier les comptes administrateurs sur votre site WordPress, il est conseillé d’examiner les extensions, qui peuvent être dissimulées. Il faut donc inspecter le répertoire wp-content/plugins de votre hébergement.
La porte dérobée a été conçue pour passer sous les radars : elle se dissimulait des listes d’extensions, des interfaces utilisateur, des vérifications de mises à jour et des réponses d’API. Sansec a identifié deux déguisements utilisés au cours de la campagne.
Source : Sansec.
