Sansec veröffentlichte die Kampagne am 13. Juni und erklärte, denselben schädlichen Code in JavaScript-Dateien für alle drei Plugins gefunden zu haben. Einen Tag später bestätigte PushEngage den Vorfall und teilte mit, ein Angreifer habe manipulierte Versionen seines Skripts ausgeliefert. Für OptinMonster- und TrustPulse-Nutzer gab es bis dahin keine offizielle Mitteilung; Awesome Motive hatte sich zu den beiden größeren Plugins bis zum 15. Juni nicht geäußert.
Die Zeitfenster unterschieden sich deutlich. Nach Beobachtungen von Sansec waren die manipulierten Dateien bei OptinMonster und TrustPulse nur etwa 25 Minuten am 12. Juni sichtbar, zunächst gegen 22:17 UTC und wieder verschwunden bis 22:42. Bei PushEngage dauerte die Gefährdung mehrere Stunden am 12. Juni; zudem wurde das Skript von einigen Servern des CDN noch bis zum 14. Juni ausgeliefert. Nach der Zeitleiste von Sansec waren die Dateien von OptinMonster und TrustPulse bis zum 13. Juni wieder sauber.
Die schädlichen Skripte blieben bei normalen Besuchen inaktiv. Sie wurden nur aktiv, wenn ein in WordPress angemeldeter Administrator die Seite aufrief, und nutzten dann dessen Sitzung zur Übernahme. Genau deshalb lässt sich ein Befall laut Quelle nicht zuverlässig über das WordPress-Dashboard erkennen: Die Hintertür ist so gebaut, dass sie in den Verwaltungsansichten verborgen bleibt. Verlässliche Gewissheit liefert nur eine Prüfung direkt auf dem Server.
Im Fall von PushEngage betraf die Manipulation die regulären Einbindungen pushengage-web-sdk.js und pushengage-subscription.js, ausgeliefert über clientcdn.pushengage.com. OptinMonster und TrustPulse wurden über getrennte CDN-Endpunkte von Awesome Motive getroffen. PushEngage erklärte zugleich, andere eigene Systeme seien unberührt geblieben; es gebe keine Hinweise darauf, dass die Hauptanwendung oder Server mit Kundendaten erreicht wurden.
Sansec zufolge war das versteckte Plugin der zentrale Bestandteil des Angriffs. Es öffnet eine Web-Shell, also einen entfernten Befehlskanal: Wer die richtige URL kennt, kann ohne Anmeldung Code auf dem Server ausführen. Zusätzlich schuf der Angreifer ein Administratorkonto als einfachen Rückweg, falls zwar das Plugin entfernt, das Konto aber übersehen wird. Sowohl Sansec als auch PushEngage raten deshalb dazu, von weiteren möglichen Hintertüren auszugehen; das bloße Entfernen des bekannten Plugins und Kontos könne unzureichend sein.
Uneinigkeit gibt es über den Einstiegspunkt. PushEngage sagt, der Angreifer habe zunächst den Server seiner Marketing-Website über eine bekannte Schwachstelle in UpdraftPlus kompromittiert, einem WordPress-Backup-Plugin. Entscheidend sei dort ein abgelegter CDN-API-Schlüssel gewesen, mit dem sich die an Kundenseiten ausgelieferten Dateien ändern ließen, ohne die Hauptsysteme von PushEngage anzugreifen. Sansec hält den Einstieg dagegen für ungeklärt: Am wahrscheinlichsten seien Server von Awesome Motive selbst, möglich sei auch das CDN-Konto, eher unwahrscheinlich der CDN-Anbieter BunnyNet.
Die von PushEngage genannte UpdraftPlus-Schwachstelle ist nicht als Ursache bestätigt. Sansec prüft oder stützt diese Darstellung in seiner öffentlichen Analyse nicht. Separat existiert in UpdraftPlus zwar die Authentifizierungsumgehung CVE-2026-10795, die Wordfence mit 8,1 und damit als hohes Risiko bewertet; die Lücke ist inzwischen gepatcht, und Wordfence hat Angriffe darauf gemeldet. Ob sie mit diesem Einbruch zusammenhängt, bleibt laut Quelle unbestätigt.
PushEngage teilt mit, die manipulierten Dateien inzwischen ersetzt, den CDN-Cache geleert, den CDN-Schlüssel und zugehörige Zugangsdaten geändert sowie die Marketing-Website auf neue Infrastruktur verlagert zu haben. Für bereits übernommene Websites ändert das nichts. Wenn eine Website während des relevanten Zeitfensters eines der drei Plugins nutzte, ist laut Quelle nur ein serverseitiger Scan belastbar.