IT-Sicherheitsforscher warnen vor einem aktiven Lieferkettenangriff auf die WordPress-Plug-ins OptinMonster, TrustPulse und möglicherweise PushEngage. Angreifer missbrauchen Schwachstellen darin, um Backdoors in verwundbare WordPress-Instanzen zu installieren. 1,2 Millionen Webseiten sollen bedroht sein.
Das schreiben die Autoren von Sansec in ihrer Analyse. Sie haben eine Supply-Chain-Attacke auf die Plug-ins OptinMonster, TrustPulse und PushEngage des Herstellers Awesome Motive aufgedeckt. Die Angreifer haben dabei bösartiges JavaScript in die legitimen Dateien eingeschleust, die Awesome Motive ausliefert. Diese Dateien sind dann in die Kunden-Webseiten eingebettet. Das bösartige JavaScript wartet darauf, dass sich ein Admin anmeldet, erstellt daraufhin einen Backdoor-Admin-Zugang und installiert noch eine sich versteckende Backdoor als Plugin; bei anderen Zugängen hält es die Füße still. Die neuen Zugangsdaten sendet es an eine Domain „tidio.cc“, die die reguläre Seite „tidio.com“ imitiert. Die Kampagne läuft seit Freitag, dem 12. Juni 2026.
Da die Angreifer volle Kontrolle über erfolgreich angegriffene Instanzen erhalten, können auch weitere Konten regulärer Besucher missbraucht werden. Awesome Motive vertreibt noch weitere populäre WordPress-Plugins. Zwar hat Sansec bislang nur Malware in dreien entdeckt, Nutzerinnen und Nutzer der anderen Plug-ins sollten jedoch aufmerksam bleiben und ihre Systeme auf Hinweise für Angriffe (Indicators of Compromise, IOC) überwachen. Allein das OptinMonster-Plugin kommt auf mehr als eine Million Installationen, erörtert Sansec. Aber auch WPForms mit mehr als sechs Millionen Installationen, All-in-One-SEO (drei Millionen Installationen) oder MonsterInsights (rund zwei Millionen Installationen) könnten möglicherweise im Visier der Angreifer sein.
