WordPress-sites gebackdoord na supplychain-aanval op OptinMonster

In dit artikel:

OptinMonster meldt dat een recente supplychain-aanval via het CDN van de plug-inleverancier heeft geleid tot het verspreiden van malware naar een onbekend aantal WordPress-sites die hun plug-ins gebruiken (OptinMonster, TrustPulse, PushEngage). De aanvallers slaagden ernaar via een bekende kwetsbaarheid in de UpdraftPlus-plug-in toegang te krijgen tot de server van de marketingwebsite van OptinMonster en daarmee een API‑key voor het CDN te bemachtigen. Met die sleutel konden ze bestanden op het CDN aanpassen en een kwaadaardig script verspreiden.

Het script installeerde verborgen backdoor-code en maakte heimelijk een admin-account aan op getroffen sites, maar activeerde alleen wanneer een beheerder was ingelogd. Omdat de backdoor niet in het WordPress-dashboard zichtbaar is, moeten beheerders het server‑filesystem controleren. OptinMonster en cybersecuritybedrijf Sansec publiceerden indicators of compromise (IoC’s) om compromittering te detecteren. Aanbevolen stappen: controleer het filesystem en gebruikersaccounts, zoek met de IoC’s, roteer CDN-sleutels, sluit/updatet kwetsbare plug-ins (zoals UpdraftPlus) en herstel zo nodig vanaf een schone backup.