Ataque a plugins WordPress da Awesome Motive planta backdoors em sites administrados — PushEngage, OptinMonster e TrustPulse comprometidos

Atacantes adulteraram arquivos JavaScript legítimos dos plugins WordPress PushEngage, OptinMonster e TrustPulse para plantar backdoors silenciosos em sites que rodam essas ferramentas. O código malicioso, ativado apenas quando um administrador estava logado, criava uma conta admin sob controle do invasor e instalava um plugin oculto que funciona como web shell. Os três plugins pertencem à Awesome Motive e somam milhões de sites WordPress no mundo. A Sansec divulgou a campanha em 13 de junho de 2026 e a PushEngage confirmou o incidente um dia depois.

O que aconteceu

A pesquisa da Sansec, especializada em segurança de e-commerce, identificou que arquivos JavaScript servidos a partir do CDN dos três plugins haviam sido modificados para incluir uma carga maliciosa direcionada a administradores autenticados. Visitantes comuns do site não disparavam o payload — somente a sessão de um usuário com privilégios administrativos ativava o código, o que reduz a chance de detecção por monitoramento de tráfego e por usuários finais.

Quando ativado, o script criava uma conta de administrador adicional sob controle do atacante e instalava um plugin oculto que funciona como web shell, ou seja, um canal remoto de execução de comandos no servidor. Com esse acesso, o invasor pode ler ou alterar qualquer arquivo, exfiltrar bancos de dados, plantar novos backdoors, injetar skimmers de cartão, redirecionar visitantes ou roubar dados sensíveis.

Todos os três plugins envolvidos — PushEngage (notificações push), OptinMonster (captura de leads) e TrustPulse (provas sociais e notificações de conversão) — pertencem à Awesome Motive, uma das maiores fornecedoras de plugins comerciais do ecossistema WordPress. Até 15 de junho, apenas a PushEngage havia publicado uma nota oficial; OptinMonster e TrustPulse ainda não se manifestaram publicamente.

Como o ataque funcionou

Segundo o comunicado da PushEngage, a porta de entrada não foi o ambiente de produção do produto, mas sim um servidor secundário usado para o site institucional da empresa. Esse servidor rodava o UpdraftPlus, plugin de backup para WordPress, com uma vulnerabilidade conhecida que não havia sido corrigida. A partir dessa falha, os invasores obtiveram acesso ao sistema e localizaram um ativo estratégico: uma chave de API de CDN armazenada no servidor.

Com a chave da CDN em mãos, os atacantes não precisaram comprometer a infraestrutura principal da PushEngage nem o banco de dados de clientes. Bastou substituir o arquivo JavaScript legítimo distribuído pela rede de entrega de conteúdo pelo arquivo adulterado. Como o CDN é a fonte autoritativa para milhares de instalações WordPress que carregam o script remotamente, qualquer site cliente passou a servir o payload malicioso aos próprios administradores.

“Qualquer site atingido deve ser tratado como comprometido. Remover o plugin nomeado e a conta de administrador adicional pode não ser suficiente — outros backdoors podem permanecer.”

Sansec e PushEngage, em comunicados separados

Quem está em risco

O escopo do incidente é amplo, dado o tamanho das bases de instalação dos três plugins. Administradores de WordPress que utilizem qualquer um dos seguintes produtos da Awesome Motive devem considerar o site potencialmente comprometido entre o início da campanha e a substituição confirmada dos arquivos limpos:

• PushEngage — plataforma de notificações push web e mobile
• OptinMonster — formulários de captura de leads e pop-ups de conversão
• TrustPulse — notificações sociais de atividade em tempo real

O risco não se limita à perda de controle do site WordPress. Em servidores compartilhados ou com integrações de pagamento, a presença do web shell permite injeção de skimmers que capturam dados de cartão diretamente no checkout, comprometimento de bancos de dados de usuários (incluindo hashes de senha) e movimentação lateral para outros sistemas conectados.

Análise

O incidente segue um padrão que tem se tornado recorrente em 2026: cadeias de suprimento de software comprometidas via ativos secundários, em vez de ataques diretos à infraestrutura principal. O comprometimento de um servidor de marketing aparentemente periférico permitiu acesso a um segredo de altíssimo valor — a chave de API do CDN — sem que houvesse necessidade de quebrar o produto principal. É a mesma lógica do incidente da Polyfill.io em 2024 e dos ataques recentes a pipelines de build em pacotes npm: o atacante busca o ponto de injeção que maximiza alcance com mínima detecção.

Outro elemento que merece atenção é a sofisticação operacional: o payload se ativa apenas para administradores autenticados, o que dificulta a detecção em monitoramento de tráfego e em scanners automatizados que simulam visitantes anônimos. Esse comportamento condicional é uma assinatura de operações que priorizam persistência sobre impacto imediato e tende a aparecer cada vez mais em campanhas de comprometimento de ecossistemas de plugins e bibliotecas.

Por fim, o caso evidencia o risco sistêmico de fornecedores que concentram múltiplos plugins populares sob uma única operação. A Awesome Motive opera dezenas de produtos com presença significativa no WordPress, e uma falha em um servidor periférico se traduziu em exposição simultânea para três bases de usuários distintas.

Recomendações práticas

• Auditar todas as contas de administrador no WordPress e remover qualquer usuário não reconhecido, especialmente os criados recentemente
• Listar plugins instalados via FTP/SSH e comparar com a lista do painel — backdoors costumam ficar ocultos no painel administrativo
• Procurar arquivos PHP recém-modificados ou criados dentro de wp-content/plugins, wp-content/mu-plugins e na raiz do site
• Rotacionar todas as credenciais administrativas, chaves de API, salts em wp-config.php e senhas de banco de dados
• Atualizar imediatamente o UpdraftPlus e todos os plugins de backup, com atenção especial à vulnerabilidade explorada inicialmente
• Considerar restauração a partir de backup limpo anterior ao período do comprometimento, em vez de tentar limpar a instalação infectada
• Implementar monitoramento de integridade de arquivos (FIM) para detectar modificações não autorizadas no futuro
• Revisar logs do CDN e do servidor em busca de acessos anômalos vindos do escritório de marketing ou de servidores secundários

Para administradores que mantenham vários sites com esses plugins, o caminho mais seguro é assumir comprometimento até prova em contrário e tratar a remediação como resposta a incidente — não como simples atualização de plugin.

Fonte: The Hacker News