Sansec machte die breiter angelegte Kampagne am 13. Juni öffentlich. Das Sicherheitsunternehmen fand denselben schädlichen Code in JavaScript-Dateien, die für alle drei Plugins ausgeliefert wurden. PushEngage bestätigte einen Tag später den Vorfall. Nutzer von OptinMonster und TrustPulse erhielten hingegen zunächst keine offizielle Information.

Die Zeitfenster unterschieden sich deutlich. Nach Beobachtung von Sansec waren die schädlichen Dateien bei OptinMonster und TrustPulse nur etwa 25 Minuten lang am 12. Juni sichtbar, zunächst gegen 22:17 UTC und bis 22:42 UTC wieder entfernt. Bei PushEngage dauerte die Gefährdung mehrere Stunden am 12. Juni an; von einigen Servern des CDN wurde das Skript noch bis zum 14. Juni ausgeliefert.

Sansec schätzt die Reichweite der drei Plugins zusammen auf mehr als 1,2 Millionen Websites. Der größte Anteil entfällt auf OptinMonster mit mehr als einer Million aktiven Installationen. Das WordPress-Plugin von PushEngage kommt auf mehr als 9.000 Installationen. Diese Zahlen beschreiben laut Quelle nur die potenzielle Reichweite, nicht die Zahl tatsächlich kompromittierter Seiten.

Die manipulierten Skripte verhielten sich unauffällig, solange nur gewöhnliche Seitenaufrufe stattfanden. Aktiv wurde der Code erst, wenn ein in WordPress angemeldeter Administrator die Seite lud. Dann nutzte er dessen Sitzung, um die Seite zu übernehmen. Gerade deshalb lässt sich laut Quelle im WordPress-Dashboard nicht zuverlässig erkennen, ob eine Kompromittierung stattgefunden hat: Die Hintertür ist so gebaut, dass sie in den Administrationsansichten verborgen bleibt. Verlässlich prüfen lässt sich das nur direkt auf Server-Ebene.

Im Fall von PushEngage betraf die Manipulation die regulären Einbindungen pushengage-web-sdk.js und pushengage-subscription.js, ausgeliefert über clientcdn.pushengage.com. OptinMonster und TrustPulse waren laut Bericht über separate CDN-Endpunkte von Awesome Motive betroffen. PushEngage erklärte, seine übrigen Systeme seien nicht berührt worden; es gebe keine Hinweise darauf, dass die Hauptanwendung oder Server mit Kundendaten erreicht wurden.

Sansec beobachtete bei allen drei Plugins dieselbe Angriffskette. Die Domain tidio[.]cc wurde bereits am 28. April registriert, also Wochen vor dem Angriff. Für Sansec deutet das auf eine geplante Operation hin.

Das versteckte Plugin ist dabei der entscheidende Bestandteil: Es eröffnet eine Web-Shell, also einen entfernten Befehlskanal. Wer die richtige URL kennt, kann darüber ohne Anmeldung Code auf dem Server ausführen. Zusätzlich dient das angelegte Administratorkonto als einfacher Rückweg, falls zwar das Plugin entfernt, das Konto aber übersehen wird. Sowohl Sansec als auch PushEngage betonen deshalb, dass nach einer Kompromittierung von weiteren Hintertüren ausgegangen werden muss.

Beim möglichen Einstiegspunkt widersprechen sich die Angaben. PushEngage erklärt, der Angreifer habe zunächst einen Server der Marketing-Website kompromittiert, und zwar über eine bekannte Schwachstelle in UpdraftPlus, einem WordPress-Backup-Plugin. Ausschlaggebend sei dort ein abgelegter CDN-API-Schlüssel gewesen; mit diesem habe der Angreifer die über das CDN verteilten Dateien verändern können, ohne in die Hauptsysteme von PushEngage einzudringen.

Sansec hält diese Erklärung nicht für gesichert. Nach Einschätzung des Unternehmens ist das kompromittierte System weiterhin unbekannt; am wahrscheinlichsten seien Server von Awesome Motive selbst, möglich sei auch das CDN-Konto, unwahrscheinlich dagegen der CDN-Anbieter BunnyNet. Sansec untersucht oder bestätigt die UpdraftPlus-Theorie in seiner öffentlichen Analyse nicht. Separat existiert für UpdraftPlus die Authentifizierungsumgehung CVE-2026-10795, die Wordfence mit 8,1 und damit als hoch einstuft. Die Lücke ist inzwischen behoben, und Wordfence hat Angriffe darauf gemeldet. Ob sie bei diesem Einbruch eine Rolle spielte, ist laut Quelle jedoch unbestätigt.

PushEngage teilte mit, die schädlichen Dateien inzwischen ersetzt, den CDN-Cache geleert, den CDN-Schlüssel und zugehörige Zugangsdaten gewechselt sowie die Marketing-Seite auf neue Infrastruktur umgezogen zu haben. Für bereits übernommene Websites reicht das aber nicht aus. Wenn eine Seite in dem Gefährdungszeitraum eines der drei Plugins einsetzte, ist laut Quelle nur eine serverseitige Prüfung verlässlich.