OptinMonster ellátási lánc támadás
A Sansec kutatása szerint egy nagyszabású ellátásilánc-támadás érte az OptinMonster, TrustPulse és PushEngage WordPress-bővítményeket fejlesztő vállalat infrastruktúráját. A kompromittált frissítések révén a támadók rosszindulatú kódot juttattak el mintegy 1,2 millió weboldalhoz, amelyek ezeket a plugineket használják. A fertőzött verziók telepítése után a támadók rejtett adminisztrátori fiókokat hoztak létre, valamint egy backdoor-t építettek ki, amely lehetővé tette a későbbi visszatérést akkor is, ha a jelszavakat megváltoztatták.
A támadás nem a weboldalak sérülékenységeit használták ki, hanem a fejlesztői környezetet vagy a szoftverterjesztési folyamatot kompromittálták. Ennek következtében a fertőzött kód legitim frissítésként jelent meg a felhasználók számára, így a hagyományos védelmi mechanizmusok és a bizalmi lánc is megkerülhetővé vált. A Sansec szerint a rosszindulatú komponens célja a jogosultságok megszerzése és a tartós hozzáférés biztosítása volt, nem pedig azonnali károkozás.
A támadók egyre gyakrabban célozzák a szoftverellátási láncokat, fejlesztői eszközöket és frissítési infrastruktúrákat. Egyetlen sikeres kompromittálás így több százezer vagy akár több millió végpontot érhet el egyszerre. Az ilyen műveletek során a támadók a felhasználók és rendszergazdák bizalmát használják fegyverként, mivel a rosszindulatú kód hiteles forrásból érkezik.
