Un ataque de cadena de suministro alteró durante un breve período el JavaScript que servía la CDN de Awesome Motive para OptinMonster y TrustPulse, y afectó durante más tiempo a PushEngage. El código buscaba tomar el control de WordPress creando un administrador falso e instalando un plugin de puerta trasera que podía ocultarse en el panel.
La infraestructura de Awesome Motive distribuyó JavaScript manipulado a sitios WordPress que cargaban recursos de OptinMonster y TrustPulse durante una período concreto del 12 de junio de 2026, y también a instalaciones de PushEngage durante un periodo más amplio. El incidente se enmarca en un ataque de cadena de suministro vía CDN: el código se servía desde dominios legítimos del proveedor, así que muchos sitios lo cargaron sin sospechar.
El comportamiento malicioso no apuntó al visitante común. Solo se activaba cuando un administrador de WordPress navegaba por una página del sitio con la sesión iniciada. En ese escenario, el script intentaba recolectar tokens de autenticación y nonces del CMS, piezas clave para autorizar acciones sensibles. Con ese material, el atacante podía crear una cuenta de administrador fraudulenta y abrir la puerta a un control persistente.
La intrusión no se quedaba en una simple cuenta nueva. La cadena de ataque incluía la instalación de un plugin de backdoor con capacidad de ocultarse dentro del panel de WordPress, lo que complica la detección para quien solo revise la lista de extensiones desde la interfaz. Ese componente ofrecía control remoto del sitio, con web shell y posibilidad de ejecución arbitraria de código PHP, un escenario especialmente serio porque permite modificar contenido, robar datos o pivotar hacia otros sistemas.
Entre los indicios observados figuran nombres de cuentas como developer_api1 y usuarios con patrón dev_xxxxxx. En paralelo, el plugin malicioso se camufló con etiquetas creíbles, como Content Delivery Helper (content-delivery-helper, v2.7.1) o Database Optimizer (database-optimizer, v2.9.4). También se vio infraestructura que imitaba servicios legítimos, con el dominio tidio.cc como posible destino de exfiltración de credenciales y detalles del sitio.
Los ficheros señalados como alterados incluyen api.min.js, servidos desde dominios como a.omappapi.com, a.opmnstr.com y a.optnmstr.com en el caso de OptinMonster, además de a.trstplse.com para TrustPulse. La exposición confirmada para OptinMonster y TrustPulse se concentró entre las 22:17 UTC y las 22:42 UTC del 12 de junio de 2026. En PushEngage, las evidencias apuntan a que el JavaScript malicioso se sirvió al menos hasta el 13 de junio, y podría haber llegado al 14 de junio.
El proveedor limpió la CDN y rotó credenciales, pero ese paso no basta para quien ya haya caído: si el sitio llegó a crear la cuenta y a instalar el plugin oculto, el compromiso permanece aunque el script ya no se sirva. Por eso, la recomendación práctica pasa por tratar como potencialmente comprometido cualquier WordPress con OptinMonster o TrustPulse activo si un administrador inició sesión durante el 12 de junio.
La respuesta a incidente debería incluir una revisión de usuarios administradores para eliminar altas no autorizadas, y una inspección directa del sistema de ficheros en wp-content/plugins para localizar content-delivery-helper o database-optimizer, aunque no aparezcan en el panel. Conviene ejecutar un escaneo antimalware del lado del servidor y auditar persistencias habituales, como mu-plugins, tareas de cron y ficheros PHP modificados.
En paralelo, toca rotar contraseñas de administradores, claves API, credenciales de base de datos y las keys y salts de WordPress en wp-config.php. Revisar registros de DNS, proxy y tráfico saliente para detectar comunicaciones con tidio.cc puede aportar pistas sobre si se produjo exfiltración. Y, como medida de contención a futuro, actualizar WordPress y plugins, endurecer la configuración y activar MFA en cuentas administrativas reduce mucho el margen de maniobra de ataques similares.
El punto de entrada, según la información disponible, partió del entorno del sitio de marketing del proveedor tras explotar una vulnerabilidad conocida en el plugin UpdraftPlus. Desde ahí, los atacantes habrían sustraído una clave API del CDN, un recordatorio de que la seguridad no termina en el código del plugin: también depende, y mucho, de cómo se protegen las llaves y los sistemas que distribuyen recursos a millones de webs.
Más información
- bleepingcomputer.com – OptinMonster WordPress plugin hacked in CDN supply-chain attack : https://www.bleepingcomputer.com/news/security/optinmonster-wordpress-plugin-hacked-in-cdn-supply-chain-attack/
- trustpulse.com – Security Incident: Tampered Script Served via TrustPulse and OptinMonster : https://trustpulse.com/2026/06/14/security-incident-tampered-script-served-via-trustpulse-and-optinmonster/
- Infosecurity Magazine – Attackers Hijack Popular WordPress Plugins to Deploy Backdoors : https://www.infosecurity-magazine.com/news/wordpress-plugin-supply-chain/
Deja una respuesta