Une attaque par chaîne d'approvisionnement a ciblé trois extensions WordPress éditées par Awesome Motive : OptinMonster, TrustPulse et PushEngage. Selon les informations communiquées par l'éditeur et les analyses de sécurité, l'incident a exposé plus de 1,2 million de sites WordPress à une potentielle compromission. Les attaquants ont pu injecter du code JavaScript malveillant dans des fichiers diffusés via le CDN officiel des extensions, une méthode qui permet d'atteindre un grand nombre d'installations sans les cibler individuellement.
Compromission d'une clé d'API CDN
L'intrusion a été détectée par la société de sécurité Sansec, qui a signalé le 13 juin 2026 que du code malveillant était distribué via des fichiers JavaScript hébergés sur le CDN des trois extensions. Awesome Motive a confirmé l'incident et précisé que tout est parti de la compromission d'une clé d'API donnant accès à son CDN. L'éditeur a indiqué que l'infrastructure applicative, les comptes clients et le code source des extensions n'ont pas été touchés. L'accès des attaquants était limité au CDN, mais cela a suffi pour modifier les fichiers JavaScript servis aux sites utilisateurs.
Fenêtre d'exposition limitée
La période durant laquelle les fichiers modifiés ont été diffusés a été très courte : quelques heures seulement le 12 juin 2026. L'enquête reste en cours, mais cette fenêtre d'exposition réduite a vraisemblablement limité l'ampleur des dégâts. Les attaquants ont exploité une faille de sécurité dans une autre extension WordPress, UpdraftPlus, qui était installée sur un site utilisé par l'équipe marketing d'Awesome Motive. C'est par cette brèche qu'ils ont pu dérober la clé d'API du CDN.
Une attaque par chaîne d'approvisionnement classique
Ce type d'attaque, dit « supply chain », illustre les risques liés à la dépendance vis-à-vis de ressources externes de confiance. En détournant une source légitime, les pirates, sans avoir à pénétrer chaque site cible, ont pu compromettre un très grand nombre d'installations. Les dernières années avaient plutôt mis en lumière des compromissions de paquets sur des registres comme NPM ou GitHub ; cet incident rappelle que les CDN d'extensions WordPress constituent également une surface d'attaque sensible.
Recommandations pour les utilisateurs
Les sites utilisant OptinMonster, TrustPulse ou PushEngage ont été potentiellement exposés. Il est conseillé aux administrateurs de ces sites de vérifier l'intégrité de leurs fichiers et de s'assurer que les extensions sont à jour. Awesome Motive a communiqué sur l'incident et devrait fournir des correctifs ou des instructions supplémentaires à mesure que l'enquête progresse.
