Attaque par chaîne d’approvisionnement visant des sites WordPress via un CDN compromis
Une attaque sophistiquée par chaîne d’approvisionnement a discrètement infiltré des milliers de sites WordPress en compromettant des fichiers servis via un réseau de diffusion de contenu largement fiable. Des chercheurs en sécurité de Sansec ont découvert du JavaScript malveillant injecté dans les points de terminaison du CDN d’Awesome Motive, la société mère derrière des plugins WordPress populaires comme OptinMonster, TrustPulse et PushEngage. L’attaque a contourné les défenses traditionnelles en intégrant le malware directement dans les scripts livrés depuis l’infrastructure propre d’Awesome Motive, ce qui signifie que chaque site chargeant ces fichiers récupérait sans le savoir la version compromise.
Une compromission furtive et ciblée
Le code injecté est conçu pour échapper à la détection et rester inactif dans des conditions suspectes. Il vérifie la présence d’outils automatisés comme des navigateurs headless ou des pilotes web, et ne s’active qu’en cas de détection d’un administrateur WordPress connecté – à l’aide d’indices comme les chemins wp-admin ou la présence du cookie wordpress_logged_in_. Une fois déclenché, il effectue une reconnaissance, récupérant des jetons d’authentification et identifiant la version de WordPress. Il tente ensuite de créer un compte administrateur en tant que porte dérobée en utilisant plusieurs méthodes de repli, notamment l’inscription standard d’utilisateur, l’API REST, et même des iframes cachés, tout en s’adaptant aux messages d’erreur spécifiques à la langue.
Exfiltration des données par canaux multiples
Après avoir établi sa persistance, le malware exfiltre des données sensibles du site – y compris les identifiants d’administrateur, le chemin du site et la version de WordPress – en combinant chiffrement et encodage. Les informations volées sont envoyées vers un domaine ressemblant, tidio.cc, enregistré quelques jours seulement avant le début de la campagne. Pour garantir la livraison même si une méthode échoue, l’attaquant a employé quatre techniques distinctes de transmission réseau : sendBeacon, fetch (avec no-cors), XHR, et même un beacon Image().src. La clé de chiffrement utilisée dans le processus est simple, mais suffisamment efficace pour obscurcir les données en transit.
Bien qu’aucune réponse officielle n’ait été publiée par Awesome Motive au moment de la rédaction, les utilisateurs des plugins concernés sont invités à mettre à jour leurs installations et à vérifier la présence de comptes administrateurs non autorisés sur leurs sites. Cet incident souligne le risque croissant des attaques par chaîne d’approvisionnement ciblant des infrastructures tierces largement utilisées dans l’écosystème WordPress.
Source : Security Affairs. Synthèse éditoriale assistée par IA — TechnoExpress.