WordPress プラグイン大手 Awesome Motive が運営する CDN が改ざんされ、同社の OptinMonster・TrustPulse・PushEngage を導入する約 120 万サイトに悪意ある JavaScript が配信されたと、Sansec が報告しました。
主なポイント
- 改ざんされたスクリプトは、ログイン中の管理者がページを開いた瞬間にだけ発火する設計で、攻撃者が制御する管理者アカウントを自動生成し、自己秘匿型のバックドアプラグインまでインストールしました。
- 取得した認証情報は、正規
tidio.comを装うtidio.ccドメインへ送信されていました。 - 攻撃は 6 月 12 日 22:17 UTC 以降に観測され、OptinMonster と TrustPulse では短時間で停止しましたが、PushEngage の一部 CDN ノードは 6 月 14 日まで悪性ペイロードを配信し続けたとされます。
- Awesome Motive はマーケティングサイトで稼働していた UpdraftPlus の既知の脆弱性経由で CDN API キーを窃取されたと説明し、認証情報のローテーションと CDN ファイルのパージを完了したと公表しました。
出典: OptinMonster WordPress plugin hacked in CDN supply-chain attack