Saldırganlar, popüler WordPress eklentilerinin arkasındaki kodu ele geçirerek 1,2 milyon siteye gizli arka kapılar ve sahte yönetici hesapları yerleştirdi. Hollandalı kötü amaçlı yazılım araştırma firması Sansec tarafından 13 Haziran'da detaylandırılan tedarik zinciri saldırısı, WordPress satıcısı Awesome Motive tarafından işletilen üç eklenti olan OptinMonster, TrustPulse ve PushEngage için sunulan JavaScript'i kurcaladı.
Kötü amaçlı kod, kurban sunucularında yaşamak yerine Awesome Motive'in kendi dağıtım ağı üzerinden girdi, bu nedenle komut dosyalarını yükleyen herhangi bir site, kurcalanmış dosyaları doğrudan kaynaktan çekti. Yük, oturum açmış bir yönetici bir sayfa yükleyene kadar hareketsiz kalıyor ve sıradan ziyaretçileri şimdilik etkilemiyor. Bir yönetici tespit edildiğinde, komut dosyası harekete geçiyor: yeni bir yönetici hesabı oluşturuyor, tutunmasını sağlamak için kendini gizleyen bir arka kapı eklentisi yüklüyor ve ardından yeni kimlik bilgilerini meşru sohbet hizmeti tidio.com'un bir benzerine gönderiyor.
OptinMonster tek başına bir milyondan fazla sitede çalışıyor, TrustPulse ve PushEngage ise geri kalanını oluşturuyor. Saldırgan etkin bir şekilde ele geçirilen her siteye sahip olduğundan, Sansec düzenli ziyaretçilerin istismar edilmesinin muhtemel olduğu konusunda uyardı. Firma, kampanyayı 2024'teki Polyfill saldırısına benzetti; bu saldırıda tek bir yukarı akış dosyasının zehirlenmesi, aşağı akıştaki binlerce siteyi etkilemişti. Saldırganların nasıl içeri girdiği belirsizliğini koruyor: firma, Awesome Motive'in kendi sunucuları, CDN hesabı veya daha az olasılıkla arkasındaki BunnyNet ağının giriş noktası olabileceğini söyledi.
Sonuç ve Değerlendirme
Maruz kalma süreleri kısa görünüyor. Sansec, kurcalanmış OptinMonster ve TrustPulse kodunu 12 Haziran'ın sonlarında yaklaşık yarım saat boyunca kaydetti, ardından kayboldu; bu, satıcının fark ettiğine dair bir ipucu. Ancak PushEngage betiği 13 Haziran'da hâlâ kötü amaçlı yazılım sunuyordu. Yalnızca üç eklentinin ele geçirildiği doğrulandı, ancak Awesome Motive'in erişimi WPForms (6 milyondan fazla kurulum), All in One SEO (yaklaşık 3 milyon) ve MonsterInsights (yaklaşık 2 milyon) gibi ürünlerle on milyonlarca siteye uzanıyor. Bunların hiçbiri doğrulanmış bir saldırı değil, ancak Sansec, Awesome Motive eklentisi çalıştıran herkesi tanıdık olmayan yönetici hesaplarına ve tidio[.]cc'ye yapılan trafiğe karşı dikkatli olmaya ve bunlardan herhangi biri ortaya çıkarsa hızlı hareket etmeye çağırdı.