Attaque sur la chaîne d'approvisionnement WordPress : 1,2 million de sites potentiellement compromis via trois extensions populaires

L'éditeur d'extensions WordPress Awesome Motive a reconnu qu'une attaque de type supply chain a permis à des pirates d'injecter du code malveillant dans les fichiers JavaScript distribués via le CDN de trois de ses produits. L'incident, détecté le 13 juin par la société de cybersécurité Sansec, concerne les extensions OptinMonster, TrustPulse et PushEngage, installées au total sur environ 1,2 million de sites. Awesome Motive a précisé que la compromission n'a pas touché ses serveurs applicatifs, les comptes clients ni le code source des extensions, mais s'est limitée au réseau de diffusion de contenu (CDN).

Selon l'éditeur, l'intrusion trouve son origine dans la compromission d'une clé d'API permettant d'accéder au CDN. Les attaquants ont exploité une vulnérabilité dans le plugin de sauvegarde UpdraftPlus, installé sur un site interne utilisé par l'équipe marketing d'Awesome Motive. Ce site WordPress a servi de point d'entrée pour dérober la clé d'API, sans que les pirates n'aient besoin de pénétrer directement l'infrastructure d'OptinMonster.

La durée de l'exposition serait limitée à quelques heures le 12 juin, selon les premières constatations. Sansec a signalé que du code JavaScript malveillant était servi aux visiteurs des sites utilisant ces trois extensions via le CDN officiel, détournant ainsi une ressource de confiance. Cette technique permet aux attaquants de compromettre des milliers de sites sans les cibler un par un, en infectant la mise à jour diffusée aux utilisateurs.

Awesome Motive a indiqué que l'enquête se poursuit pour déterminer l'ampleur exacte de la compromission et les éventuelles données dérobées. L'éditeur recommande aux administrateurs de sites utilisant OptinMonster, TrustPulse ou PushEngage de vérifier l'intégrité de leurs fichiers JavaScript et de réinitialiser les clés d'API liées à ces services. Aucune information n'a encore été communiquée sur un correctif ou une mise à jour de sécurité spécifique.

Cet incident illustre les risques croissants liés à la chaîne d'approvisionnement logicielle, où un maillon faible – en l'occurrence le CDN – peut exposer des millions d'utilisateurs. Les attaques de ce type se sont multipliées ces dernières années, visant aussi bien des dépôts de code que des infrastructures de distribution. La compromission d'UpdraftPlus, un plugin largement utilisé pour les sauvegardes, souligne que même des outils internes peuvent servir de porte d'entrée aux attaquants.

Les experts appellent les utilisateurs à surveiller les fichiers JavaScript chargés par leurs plugins WordPress et à s'assurer que les mises à jour proviennent de sources vérifiées. En attendant les conclusions de l'enquête, les sites ayant utilisé l'une des trois extensions concernées devraient examiner leurs logs pour détecter d'éventuelles anomalies survenues le 12 juin.