1,2 миллиона сайтов, один украденный ключ и ни одного взлома. Хакеры заразили рекордное число WordPress-ресурсов, не тронув ни один из них напрямую

Злоумышленники нашли способ попасть на сайты WordPress через популярные расширения, которым владельцы ресурсов доверяли без лишних вопросов. Атака затронула код OptinMonster, TrustPulse и PushEngage, а потенциальная зона риска превысила 1,2 млн сайтов.

О кампании сообщили специалисты Sansec. По данным компании, вредоносный JavaScript добавили в легитимные файлы, которые компания Awesome Motive раздавала клиентским сайтам через свои домены. В результате злоумышленникам не нужно было взламывать каждый ресурс отдельно. Достаточно было подменить один файл на стороне поставщика, после чего заражённый код автоматически загружался у всех клиентов, использовавших затронутые расширения.

Вредоносный код не срабатывал для обычных посетителей. Скрипт ждал, пока на сайт зайдёт администратор WordPress, затем пытался создать новую учётную запись с правами администратора и установить скрытый вредоносный модуль. Собранные данные отправлялись на домен tidio.cc, похожий на настоящий сервис tidio.com.

По данным Sansec, у OptinMonster больше 1 млн активных установок WordPress. TrustPulse и PushEngage увеличивают общий масштаб инцидента. Кампания продолжалась как минимум с 13 июня 2026 года, а пользователи OptinMonster параллельно жаловались на сбои в работе сервиса.

Вредоносный код проверял, не запущен ли сайт в автоматизированной среде, искал признаки входа администратора и не срабатывал повторно ранее чем через 24 часа. Затем скрипт определял путь к WordPress, собирал служебные токены и пытался создать администратора несколькими способами, включая форму добавления пользователя, служебные запросы WordPress и конечную точку wp/v2/users.

После успешного доступа на сайте появлялась учётная запись developer_api1 с адресом customer1usx@gmail.com либо случайные записи формата dev_xxxxxx. Затем устанавливался скрытый модуль, который маскировался под легитимное расширение. Его видели под названиями Content Delivery Helper и Database Optimizer.

Главная опасность модуля была не в том, что он себя маскировал, а в его возможностях. Он скрывал себя из списка расширений, из проверок обновлений и из списка недавно активных модулей, но при этом открывал злоумышленникам веб-оболочку и позволял выполнять код на сервере без дополнительной авторизации.

Patchstack уже зафиксировала реальные попытки эксплуатации. За 14 и 15 июня специалисты заблокировали 271 попытку создать вредоносного администратора на 13 сайтах. Большинство запросов шло через wp/v2/users, что совпадает с логикой атаки, описанной Sansec.

Awesome Motive объяснила инцидент взломом через известную уязвимость в расширении UpdraftPlus. По версии компании, атакующий получил доступ к серверу маркетингового сайта, нашёл там ключ к сети доставки контента и использовал его, чтобы подменить файлы, которые загружались на сайты клиентов. Обнаружив вмешательство, компания вернула исходные файлы, очистила кэш, сменила ключи и перенесла маркетинговый сайт на новую инфраструктуру.

Владельцам сайтов с OptinMonster, TrustPulse или PushEngage стоит проверить не только панель управления WordPress, но и файлы на сервере. В зоне риска находятся сайты, где администратор входил в панель, пока злоумышленники подменяли файлы. Нужно искать учётную запись developer_api1, адрес customer1usx@gmail.com, пользователей формата dev_xxxxxx, а также папки content-delivery-helper и database-optimizer внутри wp-content/plugins.

Если сайт оказался скомпрометирован, просто сменить пароль будет недостаточно. Такой сайт нужно считать полностью взломанным, поскольку вредоносный модуль давал атакующим возможность выполнять код на сервере. В таком случае администраторам придётся удалить скрытый модуль, сменить пароли и секретные ключи, проверить файлы WordPress и журналы сервера, а также убедиться, что злоумышленники не оставили дополнительные точки входа.