总结
我们正在应对一起影响 PushEngage 的安全事件。一名攻击者获得了对我们内容分发网络 (CDN) 的凭证访问权限,并利用该凭证提供这些产品向客户网站分发的篡改后的 JavaScript 文件版本。在有限的时间内,嵌入我们脚本的网站直接从我们的 CDN 加载了此修改后的文件。
恶意代码仅在登录的 WordPress 管理员时激活。当它在受影响的网站上运行时,它会尝试创建一个隐藏的管理员帐户并安装一个隐藏的后门插件,然后将数据发送到一个由攻击者控制的服务器。普通网站访问者未被针对,但由于该代码可以将被攻击者控制网站的权限交予攻击者,因此任何受影响的网站都应被视为已遭入侵。
范围 – 已触及和未触及的部分:
我们的应用程序服务器、源代码以及存储您的 PushEngage 帐户信息的系统是分开托管的,并且未被泄露。我们没有证据表明我们持有的帐户数据或个人详细信息被访问。此次泄露仅限于我们的营销网站服务器以及通过存储在其上的 CDN API 密钥访问的我们的 CDN 帐户。重要的是,这并不能减轻对受影响网站所有者的紧迫性:您网站上分发的文件已被篡改,这就是为什么如果您处于暴露窗口期,以下步骤仍然很重要。
谁需要立即采取行动: 如果您的网站在暴露窗口期内启用了 PushEngage 并且管理员已登录,请将您的网站视为已遭入侵,并立即遵循 [检查和操作方法](#what-to-check-and-do)。最可靠的检查发生在您的服务器上,而不是在 WordPress 管理仪表板中。
暴露窗口期
根据我们 CDN 提供商的日志,未经授权的配置和被篡改的文件大约在 2026 年 6 月 12 日(UTC)的几个小时内存在。对于一部分用户,它一直服务到 6 月 14 日(UTC),从某些 CDN 边缘节点提供。我们正在继续确认受影响内容被服务的确切时间段,并在验证其他详细信息后更新此通知。
只有在此窗口期内登录管理员加载受影响脚本的网站才可能被入侵。
受影响的文件是从以下位置提供的标准嵌入脚本:
- https://clientcdn.pushengage.com/sdks/pushengage-web-sdk.js (PushEngage)
- https://clientcdn.pushengage.com/sdks/pushengage-subscription.js (PushEngage)
发生了什么
一名攻击者利用了第三方 WordPress 插件 (UpdraftPlus) 中已知的漏洞,访问了托管我们营销网站的服务器。该服务器完全独立:主机不同,基础设施与运行 PushEngage 和存储客户数据的应用程序服务器不同。
在营销服务器上,攻击者找到了我们 CDN 账户的 API 密钥。利用该密钥,他们根本不需要接触我们的应用程序源站。他们修改了我们的 CDN 正在提供的文件,因此在被我们检测并撤销更改之前,篡改后的脚本在一段时间内被提供给了嵌入它的网站。
此后,我们已修复了营销网站,将其迁移到新服务器,并轮换了所有凭据,包括 CDN API 密钥。
恶意代码的作用
在受影响的网站上,当已登录的管理员加载页面时,代码会尝试执行以下操作:
- 确认其在 WordPress 管理员上下文中运行,然后收集作为该管理员执行操作所需的安全令牌。
- 创建一个隐藏的管理员账户。已知账户包括 developer_api1 ([email protected]) 和形式为 dev_xxxxxx 的随机账户。
- 安装一个自隐藏的后门插件,该插件会隐藏在仪表板中,并公开一个未经身份验证的 Web shell 和代码执行端点 — 实际上授予了对网站的完全控制权。
- 将新凭据和网站详细信息发送到攻击者控制的服务器。
由于后门会隐藏在 WordPress 管理屏幕中,因此仅凭仪表板无法告知您是否受到影响。可靠的检查是在服务器文件系统上以及通过服务器端扫描。
检查和操作
如果在暴露窗口期间,您的网站上运行了 PushEngage 并且管理员登录了您的 WordPress 网站,请尽快执行以下操作。如果您不确定管理员是否已登录,检查一下更安全。
- 删除恶意管理员账户。查找 developer_api1 / [email protected] 和任何意外的 dev_xxxxxx 账户,并将其删除。
- 检查文件系统 — 而不是仅检查仪表板 — 是否存在后门插件。在 wp-content/plugins 下,查找 content-delivery-helper (“内容分发助手”) 或 database-optimizer (“数据库优化器”)。伪装会轮换,因此请信任磁盘上的内容,而不是仪表板上显示的内容。删除找到的任何内容。
- 运行服务器端恶意软件扫描。由于该载荷仅对已登录的管理员运行,因此仪表板和客户端检查不可靠;服务器端扫描是查找后门或任何进一步更改的最可靠方法。
- 如果您发现上述任何迹象,请假定已完全泄露并轮换所有内容:管理员密码、应用程序/API 密钥、数据库凭据以及 wp-config.php 中的 WordPress 安全密钥/盐值。后门允许任意代码执行,因此可能存在其他持久性。
如果您未发现任何这些迹象,并且在窗口期间没有管理员登录,则您的网站很可能未受影响,除了标准的卫生措施(启用双因素身份验证、保持软件更新)外,无需采取任何措施。
我们迄今为止所做的工作
- 检测到篡改并立即撤销了受影响的 CDN 文件;清除了 CDN 缓存,以便提供干净的文件。
- 撤销并轮换了 CDN API 密钥和所有相关凭据。
- 已修复受损的营销网站,并将其迁移到新服务器上的独立基础架构。
- 确认我们的应用程序服务器、源代码和客户数据系统(位于独立基础架构上)没有被访问的迹象。
- 已联系我们的安全团队,并正在与我们的 CDN 提供商合作以获取交付日志。
状态和持续风险
我们的 CDN 配置已得到更正,已删除被篡改的文件,已轮换受影响的凭据,并且已修复了营销服务器上的入口点。
修复我们的系统并不能清理已被入侵的网站。如果您的网站在暴露窗口期间受到影响,那么在您按照上述步骤将其删除之前,恶意管理员帐户和隐藏的后门插件将一直存在。我们建议您尽快采取行动。如果出现其他相关信息,我们将更新此页面。
攻击指标
面向网站所有者和安全团队:
恶意帐户:
- developer_api1 / [email protected] (已修复的操作员帐户)
- dev_xxxxxx / [email protected] (随机帐户)
后门插件伪装(正在轮换;请检查文件系统):
- content-delivery-helper “内容分发助手” v2.7.1
- database-optimizer “数据库优化器” v2.9.4
攻击者基础架构:
- tidio.cc (仿冒域名 — 非合法的 tidio.com)
唯一字符串:
- jX9kM2nP4qR6sT8v (恶意软件使用的加密密钥)
- WPM 文件管理器 & Shell (后门 Shell 界面)
联系我们
如果您有疑问、需要帮助检查您的网站或发现任何异常情况,请通过 [email protected] 联系我们。我们正在优先处理与事件相关的咨询,并将在此页面上及时更新信息。
保护我们的客户是我们的重中之重。我们理解此次事件可能令人担忧,并对由此造成的任何干扰表示歉意。以上信息反映了我们迄今为止的调查结果,一旦确认更多细节,我们将更新此页面。
