Resumé
We are responding to a security incident affecting PushEngage. An attacker gained access to a credential for our content delivery network (CDN) and used it to serve a tampered version of the JavaScript file that these products deliver to customer sites. For a limited window, sites that embed our script loaded this modified file directly from our CDN.
The malicious code only activated for logged-in WordPress administrators. When it ran on an affected site, it attempted to create a hidden administrator account and install a concealed backdoor plugin, then sent data to an attacker-controlled server. Ordinary site visitors were not targeted, but because the code can hand an attacker control of a site, any affected site should be treated as compromised.
Scope – what was and wasn’t reached:
Our application servers, our source code, and the systems that store your PushEngage account information are hosted separately and were not breached. We have no evidence that account data or personal details held by us were accessed. The compromise was limited to our marketing website server and, through a CDN API key stored on it, our CDN account. Importantly, this does not reduce the urgency for affected site owners: the file delivered to your site was tampered with, which is why the steps below still matter if you were in the exposure window.
Who needs to act now: If your site had PushEngage active and an administrator was logged in during the exposure window below, please treat your site as compromised and follow [What to check and do](#what-to-check-and-do) right away. The most reliable checks happen on your server, not in the WordPress dashboard.
Exposure window
Based on our CDN provider’s logs, the unauthorized configuration with tampered files was in place for approximately several hours on June 12, 2026 (UTC). For a subset of users, it continued serving until June 14th (UTC) from certain CDN edge locations. We are continuing to confirm the precise period during which affected content was served, and will update this notice as additional details are verified.
Only sites that loaded the affected script with an administrator logged in during this window could have been compromised.
The affected files were the standard embed scripts served from:
- https://clientcdn.pushengage.com/sdks/pushengage-web-sdk.js (PushEngage)
- https://clientcdn.pushengage.com/sdks/pushengage-subscription.js (PushEngage)
What happened
An attacker exploited a known vulnerability in a third-party WordPress plugin (UpdraftPlus) to gain access to the server hosting our marketing website. This server is entirely separate: different host, different infrastructure from the application servers that run PushEngage and that store customer data.
På marketing-serveren fandt angriberen en API-nøgle til vores CDN-konto. Ved at bruge den nøgle behøvede de slet ikke at røre vores applikations-origin. De ændrede de filer, som vores CDN leverede, så det manipulerede script blev leveret til websteder, der indlejrede det i en begrænset periode, før vi opdagede og rullede ændringen tilbage.
Vi har siden udbedret marketing-webstedet, migreret det til en ny server og roteret alle legitimationsoplysninger, inklusive CDN API-nøglen.
Hvad den ondsindede kode gjorde
På et påvirket websted, når en logget ind administrator indlæste en side, forsøgte koden at:
- Bekræfte, at den kørte i en WordPress admin-kontekst, og derefter indsamle de sikkerhedstokens, der var nødvendige for at handle som den administrator.
- Oprette en skjult administrator-konto. Kendte konti inkluderer developer_api1 ([email protected]) og randomiserede konti af formen dev_xxxxxx.
- Installere et selvskjult backdoor-plugin, der skjuler sig selv fra dashboardet og eksponerer en uautoriseret web shell og kode-eksekverings-endpoint — hvilket effektivt giver fuld kontrol over webstedet.
- Sende de nye legitimationsoplysninger og webstedsdetaljer til en angriber-kontrolleret server.
Fordi backdooren skjuler sig fra WordPress admin-skærmene, vil dashboardet alene ikke fortælle dig, om du er påvirket. De pålidelige kontroller er på serverens filsystem og via en server-side scanning.
Hvad du skal tjekke og gøre
Hvis du havde PushEngage kørende på dit websted OG en administrator logget ind på dit WordPress-websted under eksponeringsvinduet, skal du gøre følgende så hurtigt som muligt. Hvis du er usikker på, om en administrator var logget ind, er det sikrest at tjekke.
- Fjern uautoriserede administrator-konti. Kig efter developer_api1 / [email protected] og eventuelle uventede dev_xxxxxx-konti, og slet dem.
- Tjek filsystemet – ikke kun dashboardet – for backdoor-pluginnet. Under wp-content/plugins, kig efter content-delivery-helper (“Content Delivery Helper”) eller database-optimizer (“Database Optimizer”). Forklædningen roterer, så stol på det, der er på disken, frem for det, dashboardet viser. Fjern eventuelle, du finder.
- Kør en server-side malware-scanning. Fordi payloaden kun kørte for loggede ind administratorer, er dashboard- og klient-side-kontroller upålidelige; en server-side scanning er den mest pålidelige måde at finde backdooren eller yderligere ændringer.
- Hvis du finder nogen af ovenstående indikatorer, skal du antage fuld kompromittering og rotere alt: administrator-adgangskoder, applikations-/API-nøgler, database-legitimationsoplysninger og dine WordPress-sikkerhedsnøgler/salte i wp-config.php. Backdooren tillod vilkårlig kodeeksekvering, så yderligere persistens kan eksistere.
Hvis du ikke finder nogen af disse indikatorer, og der ikke var nogen administrator logget ind under vinduet, er dit websted meget sandsynligt upåvirket, og ingen handling er påkrævet ud over standardhygiejne (aktiver to-faktor-godkendelse, hold software opdateret).
Hvad vi har gjort indtil videre
- Opdagede manipulationen og rullede straks de berørte CDN-filer tilbage; rensede CDN-cachen, så rene filer blev leveret.
- Tilbagekaldte og roterede CDN API-nøglen og alle relaterede legitimationsoplysninger.
- Udbedret den kompromitterede marketinghjemmeside og migreret den til en ny server på separat infrastruktur.
- Bekræftet, at vores applikationsservere, kildekode og kundedatasystemer, som er på separat infrastruktur, viser ingen tegn på adgang.
- Engageret vores sikkerhedsteam og arbejder med vores CDN-udbyder for at indhente leveringslogs.
Status og igangværende risiko
Vores CDN-konfiguration er blevet rettet, og de manipulerede filer er fjernet, de berørte legitimationsoplysninger er blevet roteret, og indgangspunktet på vores marketing-server er blevet udbedret.
Udbedring af vores systemer renser ikke et websted, der allerede var kompromitteret. Hvis dit websted blev påvirket under eksponeringsvinduet, forbliver den ondsindede administrator-konto og skjulte backdoor-plugin på plads, indtil du fjerner dem ved hjælp af ovenstående trin. Vi anbefaler at handle hurtigt. Vi vil opdatere denne side, hvis yderligere relevant information fremkommer.
Indikatorer på kompromittering
For webstedsejere og sikkerhedsteams:
Ondsindede konti:
- developer_api1 / [email protected] (fast operatørkonto)
- dev_xxxxxx / [email protected] (tilfældige konti)
Backdoor-plugin forklædninger (roterer; tjek filsystemet):
- content-delivery-helper “Content Delivery Helper” v2.7.1
- database-optimizer “Database Optimizer” v2.9.4
Angriberinfrastruktur:
- tidio.cc (lignende domæne — IKKE det legitime tidio.com)
Unikke strenge:
- jX9kM2nP4qR6sT8v (krypteringsnøgle brugt af malwaren)
- WPM File Manager & Shell (backdoor shell-interface)
Kontakt
Hvis du har spørgsmål, har brug for hjælp til at tjekke dit websted, eller bemærker noget usædvanligt, kontakt os på [email protected]. Vi prioriterer henvendelser relateret til hændelsen og vil holde denne side opdateret.
Beskyttelse af vores kunder er en prioritet for os. Vi forstår, at denne hændelse kan være bekymrende, og vi beklager enhver forstyrrelse, den har forårsaget. Oplysningerne ovenfor afspejler vores undersøgelse til dato, og vi vil opdatere denne side, efterhånden som yderligere detaljer bekræftes.
