Mobile-Menu

Plugins verteilen Schadcode über manipuliertes CDN-Skript Supply-Chain-Angriff trifft 1,2 Millionen WordPress-Seiten

Von Thomas Joos 3 min Lesedauer

Anbieter zum Thema

SEPPmail - Deutschland GmbH
FTAPI Software GmbH

Sicherheitsforscher haben einen aktiven Supply-Chain-Angriff auf die WordPress-Plugins OptinMonster, TrustPulse und PushEngage von Awesome Motive aufgedeckt. Manipulierter JavaScript-Code aus dem CDN nutzte die Sitzung eingeloggter Administratoren, um heimlich Konten anzulegen und ein getarntes Backdoor-Plugin nachzuladen. Die Kampagne traf rund 1,2 Millionen WordPress-Seiten und war zum Zeitpunkt der Analyse noch aktiv.

Manipulierte CDN-Skripte von Awesome Motive legten auf 1,2 Millionen WordPress-Seiten Admin-Konten an. Ein einziger gestohlener CDN-Schlüssel genügte als Angriffsvektor.(Bild: Gemini / KI-generiert)
Manipulierte CDN-Skripte von Awesome Motive legten auf 1,2 Millionen WordPress-Seiten Admin-Konten an. Ein einziger gestohlener CDN-Schlüssel genügte als Angriffsvektor.
(Bild: Gemini / KI-generiert)

Der Sicherheitsanbieter Sansec hat eine laufende Angriffswelle gegen drei populäre WordPress-Plugins offengelegt. Betroffen sind OptinMonster, TrustPulse und PushEngage, alle vom Hersteller Awesome Motive. Über manipulierte Skript-Dateien auf den CDN-Endpunkten des Herstellers gelangte Schadcode auf rund 1,2 Millionen Websites, die diese Skripte einbinden. Allein OptinMonster zählt nach Herstellerangaben über eine Million aktive Installationen.

Schadcode im ausgelieferten CDN-Skript

Die Angreifer veränderten legitime JavaScript-Dateien, die Awesome Motive über sein Content Delivery Network ausliefert. Jede WordPress-Installation mit einem der betroffenen Plugins lud die manipulierte Datei direkt von der Quelle. Sansec vergleicht das Vorgehen mit dem Polyfill-Angriff aus dem Jahr 2024. Eine einzige veränderte Upstream-Datei genügt, um Schadcode auf tausende nachgelagerte Seiten zu verteilen, ohne sie einzeln anzugreifen.

Aktivierung erst bei eingeloggten Administratoren

Der eingeschleuste Code bleibt gegenüber normalen Besuchern inaktiv. Erst eine angemeldete Administrator-Sit­zung löst die Schadroutine aus. Das Skript prüft zunächst auf Automatisierung, Headless-Browser und ein Fenster ohne Größe und bricht in diesen Fällen ab. Erkennt es einen wp-admin-Kontext, die Admin-Bar oder ein wordpress_logged_in_-Cookie, läuft die eigentliche Routine an. Eine Zeitsperre über localStorage verhindert wiederholte Ausführung innerhalb von 24 Stunden.

Anschließend liest der Code die REST- und AJAX-Nonces aus und legt über mehrere Fallback-Methoden ein neues Administrator-Konto an, darunter admin-ajax.php, das Formular user-new.php und der REST-Endpunkt wp/v2/users. Fest verdrahtet ist das Konto developer_api1 mit der Adresse customer1usx@gmail.com, ergänzt um zufällig benannte dev_-Konten. Den Datensatz verschlüsselt der Code per XOR, kodiert ihn base64 und sendet ihn an die Domain tidio.cc, einen Doppelgänger des echten Dienstes tidio.com.

Getarntes Backdoor-Plugin

Zusätzlich lädt die Routine ein PHP-Plugin nach, das sich selbst verbirgt. Es blendet sich aus der Benutzerliste, der Plugin-Übersicht im Backend, dem REST-Endpunkt wp/v2/plugins und den Update-Prüfungen aus. Ohne Authentifizierung stellt es zwei Zugänge bereit. Ein Parameter öffnet eine Web-Shell, die Systembefehle ausführt und Datei-Uploads annimmt. Ein zweiter Endpunkt führt per eval beliebigen, base64-kodierten Code aus. Der Betreiber wechselt die Tarnung des Plugins und liefert es unter wechselnden Namen aus, darunter Content Delivery Helper und Database Optimizer, bei identischer Logik.

Gestohlener CDN-Schlüssel als Ursache

Nach Darstellung von Awesome Motive nutzten die Angreifer die kritische Schwachstelle CVE-2026-10795 im Plugin UpdraftPlus (betrifft Versionen bis 1.26.4, behoben in 1.26.5) auf dem Server der Marketing-Website. Dort fanden sie einen API-Schlüssel für das CDN und manipulierten damit die ausgelieferten SDK-Dateien. Der Hersteller stellte die betroffenen Dateien anschließend zurück, leerte den CDN-Cache, tauschte den kompromittierten Schlüssel samt zugehöriger Zugangsdaten und verlagerte die Marketing-Website auf eine neue Infrastruktur.

Aktive Ausnutzung bestätigt

Patchstack meldet für den 14. und 15.06.2026 das Blockieren von 271 Versuchen, unautorisierte Administrator-Konten anzulegen, verteilt auf 13 Seiten und 81 IP-Adressen. Der Großteil zielte auf den REST-Endpunkt wp/v2/users und folgt damit der Fallback-Reihenfolge des Schadcodes. Administratoren sollten die Benutzerliste auf developer_api1 und unerwartete dev_-Konten prüfen und das Dateisystem unter wp-content/plugins nach den getarnten Plugins durchsuchen. Da sich der Code dem Backend entzieht, liefert ein serverseitiger Scan verlässlichere Ergebnisse als die Oberfläche.

Fazit

Der Angriff zeigt das Risiko zentral ausgelieferter Skript-Bausteine im WordPress-Ökosystem. Ein einzelner kompromittierter Schlüssel beim Hersteller genügte, um rund 1,2 Millionen Seiten mit Schadcode zu erreichen. Die betroffenen CDN-Pfade sind bereinigt, der Command-and-Control-Server war zum Zeitpunkt der Sansec-Analyse weiter aktiv.

(ID:50876966)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte