Awesome Motive旗下外掛遭供應鏈攻擊，120萬個WordPress網站受影響

Sansec是在監測網站供應鏈攻擊時，發現OptinMonster與TrustPulse所載入的合法JavaScript檔案遭人植入惡意程式，進一步追查後確認PushEngage也受到影響，而這些程式碼皆由Awesome Motive的CDN（Content Delivery Network）端點提供。

Awesome Motive是一家WordPress外掛開發商，旗下產品涵蓋行銷、表單、分析、SEO及推播等網站經營工具。這次受影響的OptinMonster主要用於彈出視窗與名單蒐集，TrustPulse用來顯示購買或訂閱通知以提高轉換率，PushEngage則提供網站推播通知服務。其中，光是OptinMonster便擁有超過100萬個啟用網站，而這3款產品合計涉及逾120萬個WordPress網站。

駭客所植入的惡意JavaScript會先確認目前是否處於WordPress管理環境，蒐集可代表管理員操作的安全權杖，接著建立隱藏管理員帳號、安裝會自我隱藏的後門外掛，並把新帳號與網站資訊傳送到攻擊者控制的伺服器。

關於此一事件，OptinMonster與TrustPulse團隊解釋，駭客是利用第三方WordPress備份外掛UpdraftPlus的已知漏洞，入侵其行銷網站伺服器，並在該伺服器上找到CDN API金鑰，再利用這把金鑰竄改CDN提供給客戶網站載入的JavaScript檔案。由於網站會直接從CDN取得這些程式碼，因此受影響網站可能在不知情的情況下自動載入遭植入惡意程式的版本。

不過，該伺服器與執行OptinMonster、TrustPulse服務及儲存客戶資料的系統分屬不同基礎架構，因此目前沒有證據顯示客戶帳號資料或個人資訊遭到存取。

Sansec與OptinMonster／TrustPulse的公告並未提及此一UpdraftPlus漏洞的編號。不過，專門提供WordPress網站防護與漏洞研究的資安業者Wordfence日前揭露編號為CVE-2026-10795的UpdraftPlus重大漏洞，該漏洞允許未經驗證的駭客以管理員身分執行操作，進而上傳並啟用惡意外掛或控制網站。UpdraftPlus已釋出1.26.5版修補了該漏洞，呼籲用戶應儘速更新。