L’ecosistema WordPress torna al centro dell’attenzione dopo un sofisticato attacco supply chain che ha coinvolto i plugin OptinMonster, TrustPulse e PushEngage. L’operazione ha sfruttato la compromissione della content delivery network (CDN) di Awesome Motive, trasformando un’infrastruttura considerata affidabile in un canale di distribuzione di codice malevolo. L’incidente dimostra ancora una volta come gli attaccanti preferiscano colpire fornitori e infrastrutture condivise invece dei singoli siti, ottenendo una superficie di attacco molto più ampia. Attraverso file JavaScript modificati distribuiti dalla CDN, gli aggressori sono riusciti a creare account amministratore non autorizzati e installare backdoor persistenti capaci di garantire controllo remoto completo sui siti WordPress compromessi.
Cosa leggere
Come gli hacker hanno compromesso Awesome Motive
L’accesso iniziale è stato ottenuto sfruttando una vulnerabilità nota nel plugin UpdraftPlus installato su un server di marketing appartenente ad Awesome Motive. Sebbene il sistema non fosse collegato direttamente all’infrastruttura produttiva dell’azienda né ai database contenenti dati degli utenti, ospitava informazioni particolarmente sensibili: le credenziali dell’account utilizzato per gestire la CDN. Una volta compromesso il server, gli aggressori hanno sottratto le chiavi di accesso e hanno modificato direttamente i file JavaScript distribuiti attraverso la rete di distribuzione contenuti. Questa tecnica ha consentito di aggirare gran parte delle difese tradizionali poiché gli script continuavano a provenire da domini ritenuti legittimi e affidabili dai siti WordPress che li caricavano automaticamente.
La CDN trasformata in vettore di distribuzione malware
L’attacco ha coinvolto diversi domini utilizzati dai servizi di OptinMonster e TrustPulse, inclusi a.omappapi.com, a.opmnstr.com, a.optnmstr.com e a.trstplse.com. I file api.min.js distribuiti da questi endpoint sono stati alterati per includere codice malevolo. Invece di attaccare direttamente i siti bersaglio, gli aggressori hanno sfruttato il rapporto di fiducia tra i plugin WordPress e la CDN. Ogni sito che caricava gli script compromessi eseguiva automaticamente il codice distribuito dagli attaccanti. Questa strategia rappresenta uno dei modelli più efficaci degli attacchi supply chain moderni perché utilizza infrastrutture legittime come vettori di compromissione, rendendo molto più complesso il rilevamento attraverso firewall, sistemi di monitoraggio e soluzioni di sicurezza tradizionali.
Il malware prende di mira gli amministratori WordPress
Il codice malevolo non colpiva indiscriminatamente tutti i visitatori del sito. Gli attaccanti hanno implementato una logica selettiva progettata per attivarsi soltanto quando un amministratore WordPress autenticato visitava una pagina che caricava gli script compromessi. In quel momento il malware raccoglieva token di autenticazione, nonce di sicurezza e altri elementi necessari per eseguire operazioni privilegiate all’interno della piattaforma. Utilizzando queste informazioni, il codice procedeva alla creazione automatica di nuovi account amministratore. Questo approccio evita tecniche più rumorose come il furto di password o gli attacchi brute force e sfrutta direttamente una sessione legittima già autenticata, rendendo l’operazione molto più difficile da individuare.
Account rogue e persistenza attraverso plugin nascosti
Una volta ottenuti privilegi amministrativi, il malware passava immediatamente alla fase di persistenza. Gli aggressori installavano un plugin backdoor direttamente nella directory wp-content/plugins, garantendosi un accesso stabile anche nel caso in cui l’account creato inizialmente fosse stato scoperto e rimosso. Il componente malevolo era progettato per nascondersi dall’interfaccia di amministrazione di WordPress e comunicava con domini esterni che imitavano servizi legittimi per trasmettere dati e ricevere istruzioni operative. Questa tecnica consente agli attaccanti di mantenere il controllo dei sistemi compromessi per periodi prolungati, anche dopo attività di bonifica superficiali effettuate dagli amministratori.
Le capacità della backdoor installata sui siti compromessi
Le analisi effettuate dai ricercatori hanno evidenziato che il plugin malevolo integra una vera e propria web shell denominata “WPM File Manager & Shell” insieme a funzionalità per l’esecuzione arbitraria di codice PHP. In pratica gli aggressori ottengono il pieno controllo del sito WordPress. Attraverso la backdoor possono modificare contenuti, installare ulteriore malware, rubare dati, creare nuovi utenti privilegiati e utilizzare il server compromesso come punto di partenza per operazioni successive. Per aumentare le possibilità di evasione, gli operatori della campagna modificano continuamente il nome del plugin utilizzando denominazioni apparentemente innocue come Content Delivery Helper e Database Optimizer, mantenendo però invariata la logica del codice malevolo.
OptinMonster e milioni di siti esposti al rischio
Tra i prodotti coinvolti, OptinMonster rappresenta il caso più significativo per diffusione. Il plugin è utilizzato da oltre 1,2 milioni di siti WordPress, rendendo l’incidente potenzialmente uno dei più estesi degli ultimi mesi nel panorama CMS. Anche TrustPulse e PushEngage sono stati interessati dalla stessa compromissione. Non tutti i siti che utilizzano questi prodotti risultano necessariamente infetti, poiché l’esposizione dipende dall’aver caricato gli script durante la finestra temporale in cui la CDN distribuiva il codice alterato e dalla presenza di sessioni amministrative attive. Tuttavia il numero complessivo di installazioni coinvolte dimostra quanto possa essere devastante una compromissione a livello di infrastruttura condivisa.
La scoperta dell’attacco e la risposta di Awesome Motive
L’attività malevola è stata individuata dai ricercatori di Sansec, specializzati nella sicurezza delle piattaforme e-commerce. Dopo la segnalazione, Awesome Motive ha pubblicato un advisory di sicurezza e ha avviato immediatamente le procedure di contenimento. L’azienda ha rimosso il codice malevolo dalla CDN, migrato il server compromesso e ruotato tutte le credenziali coinvolte, comprese le chiavi API utilizzate per la gestione della rete di distribuzione contenuti. Secondo quanto comunicato ufficialmente, non esistono evidenze che i sistemi produttivi, il codice sorgente dei plugin o i database contenenti dati degli utenti siano stati compromessi. L’impatto maggiore resta quindi legato alla distribuzione del malware attraverso la CDN e alle conseguenze sui siti che hanno eseguito gli script alterati.
Indicatori di compromissione e attività di bonifica
I siti che hanno caricato gli script compromessi durante il periodo dell’attacco devono essere considerati potenzialmente esposti anche dopo la rimozione del malware dalla CDN. Gli indicatori più evidenti comprendono la presenza di account amministratore con nomi come developer_api1 o dev_xxxxxx, plugin sconosciuti presenti nella directory wp-content/plugins e attività anomale nei log amministrativi. Gli esperti raccomandano una verifica approfondita dell’ambiente WordPress, la rimozione di eventuali account rogue, la cancellazione delle backdoor, la rotazione delle password amministrative, delle credenziali database, delle chiavi API e dei security salts di WordPress. Il monitoraggio continuo dei log e delle directory dei plugin resta fondamentale per identificare eventuali meccanismi di persistenza residui lasciati dagli aggressori.
Gli attacchi supply chain restano la minaccia più difficile da contrastare
L’incidente che ha colpito OptinMonster, TrustPulse e PushEngage evidenzia la crescente pericolosità degli attacchi supply chain contro ecosistemi software largamente distribuiti. Gli aggressori non hanno compromesso direttamente milioni di siti WordPress, ma hanno sfruttato una vulnerabilità in un server secondario per raggiungere una componente infrastrutturale condivisa e altamente fidata come la CDN. Questa strategia permette di moltiplicare l’impatto di una singola intrusione e rende evidente come la sicurezza non possa limitarsi ai sistemi produttivi principali. In un contesto in cui plugin, librerie, repository e reti di distribuzione contenuti sono profondamente interconnessi, la protezione della filiera software diventa tanto importante quanto la difesa dei singoli siti. L’attacco ad Awesome Motive dimostra che anche una compromissione apparentemente marginale può trasformarsi rapidamente in un incidente capace di mettere a rischio centinaia di migliaia di installazioni WordPress in tutto il mondo.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
