Auf den Punkt: Lieferkettenangriff über manipuliertes CDN versteckt Admin-Accounts und Web-Shells auf über 1,2 Millionen WordPress-Websites, Infektionen sind über das Standard-Dashboard nicht erkennbar.
Ein Angreifer hat JavaScript-Dateien von drei weit verbreiteten WordPress-Plugins manipuliert und über das Content Delivery Network (CDN) verbreitet, um administrative Hintertüren auf über 1,2 Millionen Websites zu installieren. Die Sicherheitsfirma Sansec entdeckte den Lieferkettenangriff auf die Plugins PushEngage, OptinMonster und TrustPulse von Awesome Motive im Juni 2026.
Der Angreifer manipulierte die vertrauenswürdigen JavaScript-Dateien, die über das CDN an die Websites der Kunden ausgeliefert wurden. Das Schadskript blieb bei normalen Seitenaufrufen durch reguläre Besucher inaktiv und wurde gezielt nur dann ausgeführt, wenn ein angemeldeter WordPress-Administrator die Seite lud. Der Schadcode nutzte diese administrative Sitzung, um unbemerkt ein neues Administrator-Konto mit vollen Zugriffsrechten anzulegen und ein verstecktes Plugin zu installieren. Da diese Aktivitäten außerhalb des WordPress-Dashboards stattfinden, ist eine Erkennung über die reguläre Administrationsoberfläche nicht möglich.
Bei PushEngage wurden die Dateien pushengage-web-sdk.js und pushengage-subscription.js manipuliert. Das versteckte Plugin fungiert als Web-Shell und öffnet einen permanenten Fernsteuerungs-Kanal, über den Angreifer Dateien lesen, Datenbanken kopieren oder Kreditkarten-Skimmer injizieren können. Die manipulierten Skripte waren bei OptinMonster und TrustPulse am 12. Juni 2026 nur etwa 25 Minuten aktiv (22:17–22:42 UTC), während die Kompromittierung bei PushEngage mehrere Stunden andauerte und auf einigen CDN-Servern bis zum 14. Juni 2026 nachweisbar war. PushEngage hat den Vorfall bestätigt und betroffene Dateien ersetzt, den CDN-Cache geleert sowie Zugriffsschlüssel ausgetauscht. Von OptinMonster und TrustPulse liegt keine offizielle Stellungnahme vor.
Der genaue Einbruchsweg ist umstritten. PushEngage führt die Kompromittierung auf eine bekannte Sicherheitslücke im Backup-Plugin UpdraftPlus zurück, über die Angreifer einen API-Schlüssel für das CDN erbeutet haben sollen. Sansec bezweifelt diese Darstellung und sieht die Server von Awesome Motive als wahrscheinlicheren Einstiegspunkt. Eine bekannte Sicherheitslücke in UpdraftPlus mit der CVE-ID CVE-2026-10795 wurde von Wordfence mit einem Risikowert von 8,1 bewertet, ein direkter Zusammenhang mit diesem Vorfall ist jedoch nicht unabhängig bestätigt.
Zur Überprüfung einer möglichen Kompromittierung sollten Administratoren das Dateisystem serverseitig kontrollieren und im Verzeichnis wp-content/plugins nach nicht autorisierten Ordnern wie „content-delivery-helper“ oder „database-optimizer“ suchen. Zudem müssen angelegte Administrator-Konten wie „developer_api1″ oder Konten mit dem Präfix „dev_“ überprüft und entfernt werden. Falls Infektionsindikatoren vorliegen, müssen alle administrativen Passwörter, API-Schlüssel, Datenbank-Zugangsdaten und die geheimen Schlüssel in der Datei wp-config.php erneuert werden.
Quelle: www.it-daily.net · Erschienen 15. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.