WordPress 플러그인 OptinMonster, TrustPulse, PushEngage가 Awesome Motive의 콘텐츠 배포 네트워크(CDN)를 통한 공급망 공격에 노출되어 악성코드가 유포된 사실이 밝혀졌다. 이 중 OptinMonster는 120만 개 이상의 웹사이트에서 사용되는 인기 리드 생성 및 전환 최적화 플랫폼이다. 보안 기업 Sansec에 따르면, 공격자는 6월 12일 짧은 시간 동안 OptinMonster와 TrustPulse 사용자에게 악성 스크립트를 배포했으며, PushEngage는 다음 날까지 악성 JavaScript를 제공했다.
공격은 WordPress 관리자가 감염된 사이트를 방문할 때만 활성화되어 인증 토큰과 nonce를 수집하고, 이를 이용해 악성 관리자 계정을 생성했다. 이후 공격자는 자체 은폐형 백도어 플러그인을 설치하고, Tidio를 사칭한 도메인과 통신 채널을 구축해 추가 데이터를 전송했다. 이 백도어 플러그인은 웹 셸 및 임의의 PHP 코드 실행 등 원격 제어 기능을 제공하며, 플러그인 이름을 주기적으로 변경해 탐지를 회피했다.
Awesome Motive는 이번 공격이 UpdraftPlus 플러그인의 알려진 취약점을 악용해 마케팅 사이트 서버에 접근한 해커에 의해 발생했다고 밝혔다. 해당 서버는 생산 인프라와 데이터 시스템과는 분리되어 있었으나, CDN 계정 자격 증명이 저장되어 있어 해커가 이를 탈취해 CDN을 통해 악성 코드를 배포했다. 회사는 즉시 모든 자격 증명을 교체하고, 추가 피해를 방지했다고 밝혔다. 사용자들에게는 악성 관리자 계정 및 백도어 플러그인 제거, 서버 측 악성코드 검사, 비밀번호 및 API 키 교체 등을 권고했다.
요약
- OptinMonster, TrustPulse, PushEngage 플러그인이 CDN 공급망 공격으로 악성코드에 감염되었다.
- 공격자는 관리자 계정 탈취 및 백도어 플러그인 설치로 웹사이트를 완전히 장악할 수 있었다.
- 악성 스크립트는 짧은 시간 동안 배포되었으며, 플러그인 이름을 바꿔가며 탐지를 회피했다.
- Awesome Motive는 즉각 대응해 자격 증명을 교체하고, 추가 피해를 방지했다고 밝혔다.
- 사용자들은 관리자 계정 및 백도어 플러그인 제거, 보안 점검, 비밀번호 교체 등이 필요하다.
Reference
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.