Skip to content
Cyber Breaches
Recherche
Chaîne d’approvisionnementContenu

Les extensions WordPress OptinMonster, TrustPulse et PushEngage piégées par une attaque de chaîne d'approvisionnement via le CDN d'Awesome Motive

Des attaquants ont dérobé une clé d'API CDN à Awesome Motive et altéré le JavaScript servi aux extensions WordPress OptinMonster, TrustPulse et PushEngage, créant en silence des comptes administrateurs malveillants et installant des portes dérobées sur les sites dont les administrateurs connectés chargeaient le code piégé.

Victime
Awesome Motive (OptinMonster, TrustPulse, PushEngage)
SecteurTechnologie
PaysÉtats-Unis
GroupeUnattributed

Le 13 juin 2026, la société de sécurité Sansec a révélé une attaque de chaîne d'approvisionnement visant Awesome Motive, l'entreprise derrière une gamme d'extensions WordPress de marketing très répandues. Les attaquants avaient altéré des fichiers JavaScript distribués via le réseau de diffusion de contenu (CDN) d'Awesome Motive, empoisonnant les scripts chargés par les extensions OptinMonster, TrustPulse et PushEngage — OptinMonster est à elle seule installée sur au moins 1,2 million de sites web.

Ce qui s'est passé

Les intrus ont d'abord exploité une vulnérabilité connue d'une extension tierce, UpdraftPlus, fonctionnant sur l'un des serveurs du site marketing d'Awesome Motive. De là, ils ont accédé au serveur, repéré les identifiants du compte CDN de l'entreprise, puis utilisé la clé d'API CDN dérobée pour modifier les fichiers JavaScript servis aux utilisateurs des extensions. Comme les scripts étaient chargés directement depuis le CDN légitime, les sites WordPress concernés ont récupéré le code malveillant en silence, sans aucune modification de fichier local.

Le JavaScript injecté était conçu pour s'exécuter dans le navigateur de tout administrateur WordPress connecté qui chargeait une page affectée. En s'appuyant sur la session authentifiée de cet administrateur, le code créait en silence des comptes administrateurs cachés et installait une extension-porte dérobée capable de se dissimuler — offrant aux attaquants un accès privilégié et persistant aux sites compromis. Awesome Motive a indiqué que les scripts altérés ont été servis durant une courte période à partir du 12 juin : OptinMonster et TrustPulse ont été touchées brièvement ce soir-là, tandis que certains nœuds CDN de PushEngage ont continué à diffuser la charge malveillante jusqu'à environ 19h02 UTC le 14 juin.

Pourquoi c'est important

Il s'agit d'une compromission classique de chaîne d'approvisionnement via un CDN : une seule clé d'API dérobée a transformé des scripts de confiance, hébergés de manière centralisée, en canal de diffusion de portes dérobées sur potentiellement plus d'un million de sites, sans qu'aucun fichier malveillant ne soit jamais écrit sur les serveurs des victimes. Parce que la charge utile détournait la session de l'administrateur qui la chargeait, la détection et le nettoyage sont plus ardus qu'avec un piratage de mise à jour d'extension classique. Awesome Motive a déclaré avoir remédié au site marketing, l'avoir migré vers un nouveau serveur et renouvelé tous les identifiants, y compris la clé d'API CDN, mais les propriétaires de sites utilisant les extensions concernées ont été invités à vérifier l'absence de comptes administrateurs inattendus et d'extensions inconnues.

Chronologie

  1. Des scripts altérés commencent à être servis depuis le CDN d'Awesome Motive ; le code malveillant est diffusé aux utilisateurs d'OptinMonster et de TrustPulse durant une courte fenêtre le soir même (vers 22h17–22h42 UTC).

  2. La société de sécurité Sansec révèle le JavaScript malveillant trouvé dans les scripts CDN d'OptinMonster, TrustPulse et PushEngage.

  3. Les nœuds CDN de PushEngage continuent de servir la charge malveillante jusqu'à environ 19h02 UTC ; Awesome Motive remédie au site marketing, migre ses serveurs et renouvelle tous les identifiants, dont la clé d'API CDN.

Sources

  1. sansec.iohttps://sansec.io/research/optinmonster-supply-chain-attack
  2. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/optinmonster-wordpress-plugin-hacked-in-cdn-supply-chain-attack/
  3. thehackernews.comhttps://thehackernews.com/2026/06/popular-wordpress-plugin-scripts.html
  4. patchstack.comhttps://patchstack.com/articles/supply-chain-attack-on-optinmonster-trustpulse-and-pushengage-tampered-cdn-scripts-auto-creating-rogue-admins/
  5. securityaffairs.comhttps://securityaffairs.com/193616/malware/supply-chain-attack-hits-popular-wordpress-plugins-through-awesome-motive-cdn.html
  6. infosecurity-magazine.comhttps://www.infosecurity-magazine.com/news/wordpress-plugin-supply-chain/

Incidents liés

Chaîne d’approvisionnementEn cours

L'attaque sur la chaîne d'approvisionnement « Atomic Arch » détourne plus de 400 paquets AUR d'Arch Linux pour déployer un voleur d'identifiants et un rootkit eBPF

Les chercheurs de Sonatype ont mis au jour « Atomic Arch », une campagne sur la chaîne d'approvisionnement dans laquelle des attaquants ont adopté des centaines de paquets orphelins de l'Arch User Repository et réécrit leurs scripts de compilation pour installer un paquet npm malveillant déposant un voleur d'identifiants Linux doté de capacités optionnelles de rootkit eBPF.

Victim
Arch User Repository (AUR)
Chaîne d’approvisionnementContenu

Le ver Miasma frappe 73 dépôts GitHub de Microsoft lors d'une attaque de la chaîne d'approvisionnement (2026)

Un ver auto-réplicateur de la chaîne d'approvisionnement baptisé Miasma a compromis 73 dépôts répartis sur quatre organisations GitHub de Microsoft, plantant des fichiers de configuration qui dérobaient des identifiants cloud et développeur dès que les projets étaient ouverts dans des agents de codage IA comme Claude Code et Cursor.

Victim
Microsoft (GitHub repositories)
Bourrage d’identifiantsRésolu

Compromission du système de gestion des dossiers de support d'Okta

Un acteur malveillant a utilisé l'identifiant volé d'un compte de service — exposé via le compte Google personnel d'un employé — pour accéder au système de gestion des dossiers de support client d'Okta, lisant des fichiers HAR contenant des jetons de session et permettant le détournement de session contre des clients dont 1Password, BeyondTrust et Cloudflare.

Victim
Okta