Une attaque de type supply chain a touché trois extensions WordPress éditées par Awesome Motive : OptinMonster, TrustPulse et PushEngage. Cet incident de sécurité majeur a exposé plus de 1,2 million de sites WordPress à une compromission, preuve de la popularité de ces extensions. Grâce à cette méthode, les pirates ont pu injecter du code JavaScript malveillant dans des fichiers diffusés via le CDN officiel des extensions. Voici ce que l’on sait.

Une clé d’API CDN compromise pour allumer l’incendie

Cette nouvelle attaque sur la chaîne d’approvisionnement a été détectée par Sansec, qui a signalé le 13 juin 2026 que du code malveillant était servi via des fichiers JavaScript hébergés sur le CDN d’OptinMonster, TrustPulse et PushEngage. En détournant une ressource de confiance, les attaquants ont pu atteindre des milliers d’installations WordPress sans avoir à cibler chacune d’elles directement. Encore un bel exemple des risques liés à la chaîne d’approvisionnement, même si ces derniers temps nous étions plutôt habitués à la compromission de paquets sur NPM ou GitHub.

Awesome Motive, l’éditeur de ces extensions, a confirmé l’incident et affirme que tout est parti de la compromission d’une clé d’API offrant un accès à son CDN. Awesome Motive précise aussi que les attaquants n’ont pas eu accès aux serveurs applicatifs, aux comptes clients, ni même au code source.

L’intrusion est limitée au CDN, mais cela a suffi pour modifier les fichiers JavaScript servis aux sites WordPress des utilisateurs de ces trois extensions, sans jamais accéder à l’infrastructure d’OptinMonster. La fenêtre d’exposition aurait duré seulement quelques heures, le 12 juin 2026, même si l’enquête est en cours. Fort heureusement, cela a forcément limité les dégâts.

Si vous vous demandez comment les pirates ont pu mettre la main sur cette clé d’API, sachez qu’ils ont exploité une faille de sécurité dans une autre extension WordPress : UpdraftPlus (un plugin de sauvegarde WordPress). Elle était installée sur un site WordPress utilisé par l’équipe marketing d’Awesome Motive. Cela me fait penser à une faille de sécurité critique patchée dans UpdraftPlus début juin 2026. J’ignore si c’est cette vulnérabilité qui a été exploitée, mais cela pourrait correspondre.

Les actions malveillantes réalisées côté WordPress

Que se passe-t-il sur les sites WordPress compromis ? Tout d’abord, l’analyse de Sansec pointe du doigt un détail important : le JavaScript injecté ne s’exécutait que lorsqu’un administrateur WordPress authentifié visitait un site affecté. Une fois activé, le code récupérait les jetons de sécurité de WordPress, tentait de créer des comptes administrateurs et installait une extension cachée jouant le rôle de porte dérobée pour l’accès distant persistant.

Les chercheurs expliquent que ce compte est créé via l’API de WordPress. Il y a notamment un compte nommé , lié à l’adresse . Mais il n’est pas seul : des comptes administrateurs secondaires, avec un nom plus aléatoire (au format ) sont aussi créés.

Au-delà de vérifier les comptes administrateurs sur votre site WordPress, regardez les extensions. Toutefois, celles-ci ne seront pas forcément visibles via l’interface d’administration de WordPress, car elles sont dissimulées. Il faut donc vérifier sur le système de fichiers de votre WordPress : inspectez le répertoire de votre hébergement.

La porte dérobée a été conçue pour passer sous les radars : elle se dissimulait des listes d’extensions, des interfaces utilisateur, des vérifications de mises à jour et des réponses d’API. Sansec a identifié deux déguisements utilisés au cours de la campagne :

“L’opérateur modifie le nom du plugin tout en conservant une logique identique à l’octet près lors des changements de nom. Nous avons constaté qu’il était distribué sous le nom de « Content Delivery Helper » (content-delivery-helper, v2.7.1) et, actuellement, sous le nom de « Database Optimizer » (database-optimizer, v2.9.4). “, peut-on lire dans le rapport de SanSec.