Security

Serangan Supply-Chain CDN: Plugin WordPress OptinMonster dkk Disusupi Script Pencuri Akun Admin

18 minutes ago
2 minutes read

Kabar darurat bagi para pengelola situs berbasis WordPress. Firma keamanan siber Sansec baru saja membongkar serangan rantai pasokan (supply-chain attack) berskala besar yang menargetkan jaringan distribusi konten (CDN) milik Awesome Motive.

Insiden ini berdampak langsung pada tiga plugin populer mereka, yaitu OptinMonster (platform optimasi konversi yang digunakan di lebih dari 1,2 juta situs web), TrustPulse, dan PushEngage. Peretas memanfaatkan celah ini untuk menyisipkan skrip berbahaya berjenis JavaScript secara otomatis ke situs-situs yang mengaktifkan plugin tersebut.

Kronologi Serangan: Berawal dari Celah UpdraftPlus

Pihak Awesome Motive telah merilis penasihat keamanan resmi dan menjelaskan kronologi bagaimana benteng pertahanan mereka bisa ditembus:

[Flaw di UpdraftPlus Eksploit] ──► [Server Pemasaran Bobol] ──► [Kredensial API CDN Dicuri]
                                                                        │
                                                                        ▼
[Situs Korban Load Script Toksik] ◄── [Script JS di CDN Dimanipulasi] ◄─┘
  1. Akses Awal: Peretas membobol salah satu server internal Awesome Motive setelah mengeksploitasi celah keamanan yang sudah diketahui (known flaw) pada plugin WordPress pihak ketiga bernama UpdraftPlus.
  2. Pencurian API Key: Server yang bobol tersebut sebenarnya hanya memuat situs web pemasaran (marketing website) dan terisolasi dari infrastruktur produksi utama. Sialnya, server tersebut menyimpan kredensial akun CDN perusahaan.
  3. Racuni File JavaScript: Menggunakan kunci API (API Key) CDN yang dicuri, peretas memodifikasi file JavaScript inti yang didistribusikan ke jutaan situs pengguna.

Situs web yang terinfeksi akan memuat kode toksik secara senyap langsung dari alamat CDN berikut:

  • [a.omappapi.com/app/js/api.min.js](https://a.omappapi.com/app/js/api.min.js) (OptinMonster)
  • [a.opmnstr.com/app/js/api.min.js](https://a.opmnstr.com/app/js/api.min.js) (OptinMonster)
  • [a.optnmstr.com/app/js/api.min.js](https://a.optnmstr.com/app/js/api.min.js) (OptinMonster)
  • [a.trstplse.com/app/js/api.min.js](https://a.trstplse.com/app/js/api.min.js) (TrustPulse)

Berdasarkan analisis Sansec, injeksi racun pada OptinMonster dan TrustPulse berlangsung singkat pada Jumat malam, 12 Juni 2026. Namun, infeksi pada plugin PushEngage tercatat bertahan lebih lama hingga Sabtu sore.

Modus Operandi: Mengincar Kunjungan Administrator

Malware yang disuntikkan lewat CDN ini memiliki mekanisme pemicu yang sangat spesifik. Kode jahat hanya akan aktif ketika seorang Administrator situs web yang sah masuk (login) dan mengunjungi salah satu halaman di situs terinfeksi tersebut.

Begitu dipicu, malware akan bekerja secara otomatis:

  • Mencuri Token Keamanan: Mengambil token autentikasi dan nonce (kode verifikasi sekali pakai) milik Administrator yang sedang aktif.
  • Membuat Akun Siluman: Memanfaatkan token curian tersebut untuk membuat akun Administrator baru secara ilegal di latar belakang.
  • Menanam Backdoor Kustom: Memasang plugin pintu belakang (backdoor) tersembunyi yang memiliki kemampuan eksekusi kode PHP arbitrer serta menyediakan akses kontrol jarak jauh (web shell) penuh atas server web.

Guna mengelabui proses pemeriksaan berkas manual, pelaku secara berkala mengubah nama samaran (disguise) dari plugin backdoor tersebut sementara struktur logikanya tetap sama. Sansec mendeteksi pintu belakang ini sempat menyamar dengan nama “Content Delivery Helper” (v2.7.1) dan belakangan berganti nama menjadi “Database Optimizer” (v2.9.4).

Langkah Penyelamatan dan Pembersihan Mandiri

Meskipun Awesome Motive mengonfirmasi telah membersihkan file CDN yang beracun, menutup celah server, serta merotasi seluruh kunci API, peretas akan tetap memiliki akses penuh ke situs Anda jika akun siluman dan plugin backdoor belum dihapus secara manual.

Bagi para pemilik situs web WordPress yang menggunakan ketiga plugin di atas, segera lakukan langkah-langkah mitigasi darurat berikut:

  1. Audit Akun Pengguna: Periksa menu Users di dasbor WordPress Anda. Cari dan hapus seketika jika menemukan akun administrator asing dengan nama developer_api1 atau akun dengan format dev_xxxxxx.
  2. Periksa Direktori File: Masuk ke file server Anda (via cPanel atau FTP) dan periksa folder langsung di bawah wp-content/plugins/. Cari apakah ada folder mencurigakan seperti content-delivery-helper atau database-optimizer yang tidak pernah Anda instal, lalu hapus folder tersebut.
  3. Pindai Sisi Server: Jalankan pemindaian malware secara menyeluruh (server-side malware scan) menggunakan plugin keamanan tepercaya seperti Wordfence atau Sucuri.
  4. Rotasi Kredensial: Segera ganti seluruh kata sandi administrator, kunci API, kata sandi basis data (database credentials), serta perbarui kode garam keamanan (WordPress security salts) pada file wp-config.php Anda untuk memutus sisa-sisa sesi ilegal penyerang.

Sumber: Sansec E-commerce Malware Research & Awesome Motive Security Advisory

Tags
18 minutes ago
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button