文章总结： 安全研究人员发现针对WordPress插件OptinMonster等的大规模供应链攻击，攻击者通过入侵CDN注入恶意脚本，当管理员登录时激活恶意载荷以收集凭证、创建后门并建立持久控制，建议受影响站点审核管理员账户、扫描隐藏插件并轮换凭据。 综合评分： 85 文章分类： 漏洞分析,供应链安全,应急响应,恶意软件

OptinMonster插件遭黑客攻击，120万个WordPress网站面临网络攻击风险

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年6月16日 19:16 北京

在小说阅读器读本章

去阅读

针对广泛使用的WordPress 插件的大规模供应链攻击，使超过 120 万个网站面临潜在风险。攻击者将恶意代码注入到通过可信 CDN 基础设施分发的合法 JavaScript 文件中。

Sansec 的安全研究人员发现了一个正在进行的攻击活动，该活动针对 Awesome Motive 开发的插件，包括 OptinMonster、TrustPulse 和 PushEngage。

这些插件已安装在全球数百万个 WordPress 网站上，仅 OptinMonster 一个插件的活跃安装量就超过一百万。

威胁行为者并没有直接攻击单个网站，而是入侵了托管在 Awesome Motive 的 CDN 上的上游 JavaScript 文件。

任何加载这些脚本的网站都会在不知情的情况下执行注入的恶意软件，使得此次攻击堪比以往的大规模供应链事件。

该恶意载荷设计为隐蔽运行，仅在 WordPress 管理员登录时才会激活。它能避免在无头浏览器和自动化环境中执行，从而显著降低在例行扫描中被检测到的几率。

OptinMonster插件黑客攻击暴露

脚本一旦触发，便会识别 WordPress 管理环境，收集站点元数据，并从 REST 和 AJAX 端点提取身份验证令牌。

恶意软件利用这些令牌，尝试通过多种方法创建未经授权的管理员账户，包括 REST API 调用和表单提交。

注入的脚本是通过合法域名提供的，例如：

• a.omappapi.com
• a.opmnstr.com
• a.optnmstr.com
• a.trstplse.com
• clientcdn.pushengage.com

它通过部署一个名为 developer_api1 的固定帐户和遵循 dev_xxxxxx 模式的其他随机帐户来建立持久性。

被盗凭证以及网站详细信息会被加密并传输到托管在域名 tidio.cc 上的命令与控制服务器，该服务器模仿合法服务以避免引起怀疑。

为了维持长期访问权限，攻击者安装了一个隐藏的后门插件，该插件经过精心设计，能够逃避检测。该插件会隐藏自身，使其无法被 WordPress 控制面板、API 响应、更新机制和活动日志检测到。

它通过精心构造的请求，使攻击者能够执行任意命令和远程代码，从而实现对被入侵网站的完全远程控制。

妥协的迹象

组织应检查以下内容：

• 可疑域名：tidio.cc (84.201.6.54)。
• 恶意管理员账户： developer_api1 或 dev_xxxxxx。
• 隐藏插件：内容分发助手或数据库优化器。
• 唯一字符串： jX9kM2nP4qR6sT8v（异或密钥）。

注意：IP 地址和域名已被故意隐藏（例如，使用方括号 [.]），以防止意外解析或超链接。请仅在受控的威胁情报平台（例如 MISP、VirusTotal 或您的 SIEM 系统）中重新启用。

Sansec 的研究人员观察到，该插件经常改变其伪装，伪装成“内容分发助手”或“数据库优化器”等合法工具。

已证实存在积极利用行为，Patchstack 阻止了数百次在多个站点创建恶意管理员帐户的尝试，表明该后门已被实际滥用。

据 Awesome Motive 称，该事件是由 UpdraftPlus 插件中的漏洞被利用引起的。

据报道，攻击者获得了托管营销基础设施的服务器的访问权限，获取了 CDN API 密钥，并利用该密钥将恶意代码注入到分发给客户的文件中。

该公司随后删除了恶意脚本，轮换了凭证，清除了 CDN 缓存，并将受影响的系统迁移到了新的基础设施。

强烈建议使用受影响插件的管理员假设，如果在攻击期间发生了已登录的管理员会话，则可能存在安全漏洞。

立即采取的措施包括审核所有管理员帐户是否存在未经授权的条目，直接扫描文件系统是否存在隐藏插件，以及轮换所有凭据。

由于恶意软件仅在经过身份验证的管理员会话期间激活，因此服务器端检查仍然是最有效的检测方法之一。

此次事件凸显了WordPress 生态系统中供应链攻击日益严重的威胁，攻破单个可信来源可能会对数百万个网站造成广泛影响。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《OptinMonster插件遭黑客攻击，120万个WordPress网站面临网络攻击风险》