Исследователи описали цепочку атаки на сайты WordPress, в которой злоумышленник подменил доверенные JavaScript-файлы, используемые плагинами PushEngage, OptinMonster и TrustPulse. По данным The Hacker News и Sansec, вредоносный код срабатывал не для обычных посетителей, а в момент, когда страницу с подключённым скриптом открывал уже авторизованный администратор сайта.

Такой сценарий делал атаку особенно опасной: скрипт использовал действующую сессию администратора, создавал учётную запись под контролем атакующего и устанавливал скрытый плагин-бэкдор. В результате сайт мог получить веб-шелл — удалённый канал выполнения команд на сервере. Через него злоумышленник способен читать и менять файлы, копировать базу данных, внедрять дополнительные закладки, подменять контент или разворачивать дальнейшие атаки на посетителей.

Все три продукта связаны с Awesome Motive. Sansec обнаружила один и тот же вредоносный код в JavaScript, распространявшемся для этих плагинов. Для OptinMonster и TrustPulse окно заражения, по данным исследователей, длилось около 25 минут 12 июня — примерно с 22:17 до 22:42 UTC. У PushEngage воздействие оказалось длиннее: несколько часов 12 июня, а отдельные CDN-серверы, как сообщалось, продолжали отдавать заражённые файлы до 14 июня.

Масштаб риска измеряется не числом подтверждённых взломов, а охватом самих плагинов. Sansec оценила совокупное присутствие трёх решений более чем в 1,2 млн сайтов, причём основная доля приходится на OptinMonster с более чем миллионом активных установок. PushEngage отдельно заявил, что его основное приложение и серверы с клиентскими данными не были затронуты, а первичным вектором назвал взлом маркетингового сайта через известную уязвимость UpdraftPlus.

Для владельцев сайтов главный вывод неприятен: административная панель WordPress не является надёжным индикатором компрометации, потому что бэкдор специально скрывается из обычных экранов управления. Проверять нужно серверные файлы, список пользователей, неизвестные плагины и логи веб-сервера. Если сайт загружал затронутые скрипты в указанный период, безопаснее исходить из предположения о компрометации, менять пароли и ключи, удалять подозрительные учётные записи и проводить полноценную очистку окружения.

Источник: The Hacker News, 15 июня 2026