Siber saldırganlar, popüler WordPress eklentilerinin arka plan kodlarını ele geçirerek yaklaşık 1,2 milyon siteye gizli arka kapılar ve sahte yönetici hesapları yerleştirdi. Hollandalı kötü amaçlı yazılım araştırma firması Sansec'in 13 Haziran'da detaylandırdığı tedarik zinciri saldırısı, WordPress satıcısı Awesome Motive tarafından işletilen üç eklentiyi (OptinMonster, TrustPulse ve PushEngage) hedef aldı. Kötü amaçlı kod, kurban sunucularında değil, Awesome Motive'ın kendi dağıtım ağı üzerinden sızdı; böylece bu kodları yükleyen her site, değiştirilmiş dosyaları doğrudan kaynaktan çekmiş oldu.
Saldırı, oturum açmış bir yönetici sayfayı yükleyene kadar hareketsiz kalan bir JavaScript yükü ile başlıyor. Yönetici tespit edildiğinde, komut dosyası yeni bir yönetici hesabı oluşturuyor, kendini gizleyen bir arka kapı eklentisi kuruyor ve yeni kimlik bilgilerini meşru sohbet hizmeti tidio.com'un benzeri bir siteye gönderiyor. OptinMonster tek başına bir milyondan fazla sitede çalışırken, TrustPulse ve PushEngage ile bu sayı 1,2 milyona ulaşıyor. Sansec, saldırganın her bir siteyi etkin bir şekilde ele geçirdiğini ve normal ziyaretçilere yönelik kötüye kullanımın muhtemel olduğu uyarısında bulundu.
Saldırganların sisteme nasıl sızdığı henüz netlik kazanmadı. Sansec, Awesome Motive'ın kendi sunucuları, CDN hesabı veya daha az olasılıkla arkasındaki BunnyNet ağının giriş noktası olabileceğini belirtti. Maruz kalma penceresi kısa sürdü: Sansec, değiştirilmiş OptinMonster ve TrustPulse kodunu 12 Haziran gecesi yaklaşık yarım saat boyunca kaydetti, ardından kod kayboldu; bu, satıcının durumu fark ettiğine işaret ediyor. Ancak PushEngage betiği 13 Haziran'da hâlâ kötü amaçlı yazılım sunuyordu.
Sadece bu üç eklentinin tehlikeye atıldığı doğrulandı, ancak Awesome Motive'ın erişimi WPForms (6 milyondan fazla kurulum), All in One SEO (yaklaşık 3 milyon) ve MonsterInsights (yaklaşık 2 milyon) gibi ürünlerle on milyonlarca siteye uzanıyor. Bunların hiçbiri doğrulanmış bir saldırıya uğramadı, ancak Sansec, Awesome Motive eklentisi kullanan herkesi tanımadık yönetici hesapları ve tidio[.]cc'ye giden trafik açısından dikkatli olmaya ve bunlardan herhangi biri görülürse hızlı hareket etmeye çağırdı.