Des spécialistes en cybersécurité ont mis au jour une attaque par chaîne d'approvisionnement en cours, frappant plus de 1,2 million de sites WordPress utilisant les plugins OptinMonster, TrustPulse et PushEngage, tous édités par Awesome Motive. Les assaillants ont modifié des fichiers JavaScript légitimes servis via le réseau de diffusion de contenu (CDN) de l’entreprise, transformant ces ressources en vecteurs d’infection. La campagne, toujours active à la date du 13 juin 2026, n’a pour l’instant été confirmée que pour ces trois extensions, mais d’autres produits du même groupe pourraient être concernés.
Le code malveillant ne s’active qu’en présence d’un administrateur connecté. Il détecte le contexte d’administration de WordPress (chemin wp-admin, barre d’administration ou cookie de session) et extrait les jetons d’authentification (nonces) via les API REST et AJAX. Le script t ensuite de créer un compte administrateur selon quatre méthodes distinctes : formulaire de création d’utilisateur, requête AJAX, endpoint REST et envoi caché via iframe. Il utilise un identifiant fixe, « developer_api1 », associé à l’adresse « [email protected] », ainsi que des comptes aléatoires générés dynamiquement. Pour éviter les doublons, il reconnaît les messages d’erreur « utilisateur déjà existant » dans une vingtaine de langues.
Une fois l’accès administrateur obtenu, le script télécharge et installe silencieusement un plugin qui se dissimule de façon redoutable : il disparaît de la liste des extensions, du panneau d’administration, des résultats de l’API REST, des vérifications de mises à jour et de la liste des extensions récemment activées. Ce plugin expose deux points d’entrée : un interpréteur de commandes système accessible via un paramètre GET, et une fonction d’évaluation de code PHP par requête POST. Les observateurs ont repéré le module sous les noms « Content Delivery Helper » (v2.7.1) et « Database Optimizer » (v2.9.4), avec un code identique mais une identité changeante.
Les informations collectées (identifiant, mot de passe, origine du site, URL de déconnexion, chemin d’administration, méthode employée, horodatage et version de WordPress) sont chiffrées par XOR avec une clé fixe, puis encodées en base64 et exfiltrées vers un domaine imitant « tidio.com », en l’occurrence « tidio.cc ». Le script utilise plusieurs mécanismes de communication (sendBeacon, fetch, XHR, image balise) pour garantir la transmission. Une limite de 24 heures, stockée dans le stockage local du navigateur, empêche le code de s’exécuter trop souvent.
Bien que le malware ne cible que les administrateurs, la prise de contrôle totale d’un site permet aux assaillants de compromettre ensuite les visiteurs ordinaires. Des utilisateurs d’OptinMonster ont signalé des interruptions de service, possiblement liées à l’attaque. Awesome Motive, dont le portefeuille compte des extensions majeures telles que WPForms (plus de 6 millions d’installations), MonsterInsights (environ 2 millions) et All in One SEO (environ 3 millions), n’a pas encore communiqué officiellement sur l’incident. Les experts appellent les sites utilisant ces plugins à rester vigilants, à surveiller les indicateurs de compromission (comptes inconnus comme « developer_api1 », présence du plugin suspect) et à appliquer les correctifs dès leur publication.
Cette intrusion rappelle l’attaque par chaîne d’approvisionnement Polyfill découverte en 2024, où la modification d’un seul fichier en amont avait infecté des milliers de sites sans intervention directe. La présente campagne est toujours en cours, et l’ampleur exacte des dégâts reste à évaluer.
