Erneuter Supply-Chain-Angriff auf mehrere beliebte WordPress-Plugins

Sicherheitsforscher von Sansec warnen vor einem Supply-Chain-Angriff auf mehrere WordPress-Plugins aus dem Umfeld von Awesome Motive. Konkret bestätigt betroffen sind nach aktuellem Stand OptinMonster, TrustPulse und PushEngage. Über manipulierte JavaScript-Dateien konnten Angreifer Schadcode nachladen, der bei eingeloggten Administratoren heimlich neue Admin-Konten anlegt und eine versteckte Backdoor installiert.

Awesome Motive betreibt ein sehr großes WordPress-Plugin-Portfolio. Dazu gehören unter anderem WPForms, MonsterInsights, All in One SEO, Duplicator, SeedProd, WP Mail SMTP, Smash Balloon, Easy Digital Downloads, WP Simple Pay, AffiliateWP, Sugar Calendar, Envira Gallery, RafflePress, PushEngage und TrustPulse. Laut Sansec gibt es bisher aber nur bestätigte Hinweise auf manipulierten Code bei OptinMonster, TrustPulse und PushEngage. Andere Plugins aus dem Portfolio sollten dennoch im Blick behalten und zeitnah aktualisiert werden.

Was sollte jetzt geprüft werden?

Wer eines der betroffenen Plugins im Einsatz hatte, sollte nicht nur aktualisieren, sondern die Website aktiv prüfen. Relevant ist vor allem, ob während des Angriffszeitraums ein Administrator eingeloggt war.

Zu prüfen sind unbekannte Admin-Konten, insbesondere developer_api1 mit der E-Mail-Adresse customer1usx@gmail.com sowie Konten nach dem Muster dev_xxxxxx.

Zusätzlich sollte das Dateisystem unter wp-content/plugins kontrolliert werden. Gesucht werden sollte nach content-delivery-helper / „Content Delivery Helper“ und database-optimizer / „Database Optimizer“. Diese Plugins können sich laut Sansec vor der Plugin-Übersicht im WordPress-Backend verstecken.

Schnell den vollständigen Bericht bei Sansec nachlesen