An ninh mạng

Cảnh báo: Plugin WordPress phổ biến bị chèn mã độc, hàng triệu website có nguy cơ bị chiếm quyền

Các plugin WordPress phổ biến gồm PushEngage, OptinMonster và TrustPulse vừa bị phát hiện bị kẻ tấn công chèn mã độc vào file JavaScript, cho phép chiếm quyền kiểm soát website thông qua các tài...

Nguyen Hung
15 Tháng 6, 2026 2 Min Read
2 0

Một chiến dịch tấn công quy mô lớn vừa nhắm vào hệ sinh thái WordPress thông qua việc can thiệp vào các tệp tin JavaScript của ba plugin phổ biến: PushEngage, OptinMonsterTrustPulse. Cả ba plugin này đều thuộc sở hữu của công ty Awesome Motive.

Table Of Content

Cơ chế tấn công tinh vi

Kẻ tấn công đã chèn mã độc vào các tệp tin script mà các plugin này sử dụng. Điểm nguy hiểm là mã độc này không kích hoạt với người dùng thông thường mà chỉ thực thi khi một quản trị viên (administrator) đang đăng nhập vào website. Khi đó, mã độc sẽ tự động:

  • Tạo một tài khoản quản trị mới dưới quyền kiểm soát của hacker.
  • Cài đặt một plugin ẩn (backdoor) để duy trì quyền truy cập từ xa.
  • Gửi thông tin đăng nhập và dữ liệu website về tên miền độc hại tidio[.]cc.

Plugin ẩn này đóng vai trò như một web shell, cho phép kẻ tấn công thực thi mã lệnh từ xa, đánh cắp dữ liệu, chèn mã độc skimming thẻ thanh toán hoặc chuyển hướng người dùng mà không để lại dấu vết trong bảng điều khiển (dashboard) của WordPress.

Nguồn gốc xâm nhập

Theo báo cáo từ công ty bảo mật Sansec, sự cố xảy ra vào khoảng ngày 12 tháng 6 năm 2026. PushEngage xác nhận rằng kẻ tấn công đã chiếm được một khóa API của CDN thông qua một lỗ hổng trên trang web marketing của họ (có khả năng liên quan đến lỗ hổng trong plugin UpdraftPlus). Với khóa API này, hacker có thể thay thế các tệp tin script hợp lệ bằng các bản sao đã bị chỉnh sửa trên mạng lưới phân phối nội dung (CDN).

Khuyến nghị cho quản trị viên

Vì mã độc được thiết kế để ẩn mình khỏi giao diện quản trị, việc kiểm tra qua dashboard là không đủ. Các quản trị viên cần thực hiện các bước sau:

  • Quét server trực tiếp: Kiểm tra tệp tin trên server thay vì chỉ nhìn vào giao diện WordPress.
  • Kiểm tra thư mục plugin: Tìm kiếm các thư mục lạ như content-delivery-helper hoặc database-optimizer trong wp-content/plugins.
  • Rà soát tài khoản: Xóa mọi tài khoản quản trị lạ, đặc biệt là các tài khoản có tên developer_api1 hoặc dạng dev_xxxxxx.
  • Kiểm tra log server: Tìm kiếm các kết nối đi đến tên miền tidio.cc hoặc địa chỉ IP 84.201.6.54 trong khoảng thời gian từ ngày 12 đến 14 tháng 6.
  • Thay đổi thông tin bảo mật: Nếu phát hiện dấu hiệu bị xâm nhập, hãy ngay lập tức thay đổi mật khẩu quản trị, khóa API, thông tin cơ sở dữ liệu và các chuỗi bảo mật (salts) trong tệp wp-config.php.

Do tính chất nghiêm trọng của việc thực thi mã từ xa, nếu website của bạn đã bị ảnh hưởng, hãy coi như toàn bộ hệ thống đã bị xâm phạm và thực hiện các biện pháp khôi phục bảo mật toàn diện.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept